Nyere rapporter har fremhevet betydelige sårbarheter i DeepSeek R1, en generativ AI -modell utviklet av det kinesiske selskapet DeepSeek. Disse sårbarhetene inkluderer både en større dataeksponeringshendelse og sikkerhetsfeil som gir mulighet for ondsinnet utnyttelse.
Dataeksponeringshendelse
Wiz -forskere oppdaget at DeepSeek hadde en offentlig tilgjengelig Clickhouse -database, som ble stående åpen uten godkjenning. Dette utsatte over en million linjer med sensitive interne data, inkludert brukerprathistorier, API -hemmeligheter og operasjonelle detaljer. Databasen var koblet til to av DeepSeeks underdomener og tillot ubegrenset tilgang til interne logger fra 6. januar 2025. Forskerne var i stand til å kjøre vilkårlige SQL -spørsmål, noe som kunne ha ført til ytterligere datautvinning og potensielt privilegium med opptrapping i selskapets systemer [1] [3] [5].Sårbarheter i DeepSeek R1
I tillegg til dataeksponeringen, har sikkerhetseksperter identifisert at DeepSeek R1 er utsatt for forskjellige angrepsmetoder, inkludert "Evil Jailbreak." Denne teknikken lar ondsinnede aktører omgå sikkerhetsbegrensninger og generere skadelige utganger, for eksempel instruksjoner for å lage skadelig programvare eller delta i økonomisk svindel. I motsetning til andre AI-modeller som Openais GPT-4, som har lappet lignende sårbarheter, forblir DeepSeek R1 svært utnyttbare på grunn av dens transparente resonnementsprosess som kan manipuleres av brukere [2] [4].respons og lapper
Per nå er det ingen spesifikk omtale av lapper eller fikser som blir implementert av DeepSeek for disse sårbarhetene. Selskapet har erkjent problemene, men har ikke offentlig detaljert noen korrigerende tiltak som er iverksatt som svar på sikkerhetsbruddene eller sårbarhetene identifisert av forskere. Gitt den kritiske karakteren av disse funnene, er det avgjørende for DeepSeek å prioritere sikkerhetsforbedringer og iverksette robuste beskyttende tiltak for å ivareta brukerdata og forhindre fremtidige utnyttelser [1] [2] [4].Sitasjoner:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-siss
[5] https://www.wiz.io/blog/wiz-research-uncover-exposed-depseek-database-laks
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-reams-reed-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-depseek-r1-is-now-available-in-github-models-public-preview/