Laporan terbaru telah menyoroti kerentanan yang signifikan di Deepseek R1, model AI generatif yang dikembangkan oleh perusahaan Cina Deepseek. Kerentanan ini mencakup insiden paparan data utama dan kelemahan keamanan yang memungkinkan eksploitasi berbahaya.
Insiden Paparan Data
Peneliti Wiz menemukan bahwa Deepseek memiliki database clickhouse yang dapat diakses secara publik, yang dibiarkan terbuka tanpa otentikasi. Ini mengekspos lebih dari jutaan data internal yang sensitif, termasuk sejarah obrolan pengguna, rahasia API, dan detail operasional. Database tersebut dikaitkan dengan dua subdomain Deepseek dan memungkinkan akses tidak terbatas ke log internal yang berasal dari 6 Januari 2025. Para peneliti dapat menjalankan kueri SQL yang sewenang -wenang, yang dapat menyebabkan ekstraksi data lebih lanjut dan potensi eskalasi hak istimewa dalam sistem perusahaan, perusahaan tersebut, perusahaan tersebut, yang dapat menyebabkan perusahaan di dalam sistem perusahaan dalam sistem perusahaan, perusahaan, perusahaan dalam sistem perusahaan, yang potensial dalam sistem perusahaan dalam sistem perusahaan [1] [3] [5].Kerentanan di Deepseek R1
Selain paparan data, para ahli keamanan telah mengidentifikasi bahwa Deepseek R1 rentan terhadap berbagai metode serangan, termasuk "Jailbreak Jahat." Teknik ini memungkinkan aktor jahat untuk memotong kendala keselamatan dan menghasilkan output berbahaya, seperti instruksi untuk membuat malware atau terlibat dalam penipuan keuangan. Tidak seperti model AI lain seperti Openai's GPT-4, yang telah menambal kerentanan yang sama, Deepseek R1 tetap sangat dapat dieksploitasi karena proses penalaran transparan yang dapat dimanipulasi oleh pengguna [2] [4].respons dan tambalan
Sampai sekarang, tidak ada penyebutan khusus tentang tambalan atau perbaikan yang diimplementasikan oleh Deepseek untuk kerentanan ini. Perusahaan telah mengakui masalah tersebut tetapi belum secara terbuka merinci setiap langkah korektif yang diambil sebagai tanggapan terhadap pelanggaran keamanan atau kerentanan yang diidentifikasi oleh para peneliti. Mengingat sifat kritis dari temuan ini, sangat penting bagi Deepseek untuk memprioritaskan peningkatan keamanan dan menerapkan langkah -langkah perlindungan yang kuat untuk melindungi data pengguna dan mencegah eksploitasi di masa depan [1] [2] [4].Kutipan:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-eksposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-now
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-now-available-in-github-models-public-preview/