Nya rapporter har framhävt betydande sårbarheter i Deepseek R1, en generativ AI -modell utvecklad av det kinesiska företaget Deepseek. Dessa sårbarheter inkluderar både en stor exponeringshändelse och säkerhetsbrister som möjliggör skadlig exploatering.
Data exponeringshändelse
Wiz -forskare upptäckte att Deepseek hade en offentligt tillgänglig klickhusdatabas, som lämnades öppen utan någon autentisering. Detta exponerade över en miljon rader med känslig intern data, inklusive användarchatthistorier, API -hemligheter och operativa detaljer. Databasen var kopplad till två av Deepseeks underdomäner och tillät obegränsad tillgång till interna loggar som går tillbaka till 6 januari 2025. Forskarna kunde köra godtyckliga SQL -frågor, vilket kunde ha lett till ytterligare datautvinning och potentiell privilegium upptrappning inom företagets system [1] [3] [5].Sårbarheter i Deepseek R1
Förutom dataexponeringen har säkerhetsexperter identifierat att Deepseek R1 är mottaglig för olika attackmetoder, inklusive "Evil Jailbreak." Denna teknik gör det möjligt för skadliga aktörer att kringgå säkerhetsbegränsningar och generera skadliga resultat, till exempel instruktioner för att skapa skadlig programvara eller bedriva ekonomiskt bedrägeri. Till skillnad från andra AI-modeller som OpenAI: s GPT-4, som har lappat liknande sårbarheter, förblir Deepseek R1 mycket utnyttjande på grund av dess transparenta resonemangsprocess som kan manipuleras av användare [2] [4].Svar och lappar
Från och med nu finns det inget specifikt omnämnande av lappar eller korrigeringar som implementeras av Deepseek för dessa sårbarheter. Företaget har erkänt frågorna men har inte offentligt detaljerat några korrigerande åtgärder som vidtas som svar på säkerhetsöverträdelser eller sårbarheter som forskare identifierats. Med tanke på den kritiska karaktären av dessa fynd är det avgörande för Deepseek att prioritera säkerhetsförbättringar och implementera robusta skyddsåtgärder för att skydda användardata och förhindra framtida utnyttjande [1] [2] [4].Citeringar:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-laws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-srisker
[5] https://www.wiz.io/blog/wiz-research-covers-exposed-deepseek-database-läck
[6] https://news.ycombinator.com/item?id=42852866
]
[8] https://github.com/deepseek-ai/deepseek-r1/activity
]