Rapoartele recente au evidențiat vulnerabilități semnificative în Deepseek R1, un model AI generativ dezvoltat de compania chineză Deepseek. Aceste vulnerabilități includ atât un incident major de expunere la date, cât și defecte de securitate care permit exploatarea rău intenționată.
Incident de expunere la date
Cercetătorii Wiz au descoperit că Deepseek avea o bază de date Clickhouse accesibilă public, care a fost lăsată deschisă fără autentificare. Acest lucru a expus peste un milion de linii de date interne sensibile, inclusiv istorii de chat de utilizatori, secrete API și detalii operaționale. Baza de date a fost legată de două dintre subdomeriile Deepseek și a permis accesul fără restricții la jurnalele interne care datează de la 6 ianuarie 2025. Cercetătorii au putut să efectueze întrebări SQL arbitrare, ceea ce ar fi putut duce la extragerea datelor și escalada potențială a privilegiilor în cadrul sistemelor companiei companiei [1] [3] [5].Vulnerabilități în Deepseek R1
În plus față de expunerea la date, experții în securitate au identificat că Deepseek R1 este susceptibil la diverse metode de atac, inclusiv „jailbreak malefic”. Această tehnică permite actorilor rău intenționați să ocolească constrângerile de siguranță și să genereze rezultate dăunătoare, cum ar fi instrucțiuni pentru crearea de malware sau implicarea în fraudă financiară. Spre deosebire de alte modele AI, cum ar fi GPT-4 de la OpenAI, care au patlat vulnerabilități similare, Deepseek R1 rămâne extrem de exploatabil datorită procesului său de raționament transparent care poate fi manipulat de utilizatori [2] [4].Răspuns și patch -uri
În prezent, nu există nicio mențiune specifică a patch -urilor sau a corecțiilor implementate de Deepseek pentru aceste vulnerabilități. Compania a recunoscut problemele, dar nu a detaliat public măsurile corective luate ca răspuns la încălcările sau vulnerabilitățile de securitate identificate de cercetători. Având în vedere natura critică a acestor constatări, este esențial ca Deepseek să acorde prioritate îmbunătățirilor de securitate și să implementeze măsuri de protecție solide pentru a proteja datele utilizatorilor și pentru a preveni exploatările viitoare [1] [2] [4].Citări:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-cur
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-now-available-in-github-models-public-preview/