Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Có bất kỳ bản vá nào có sẵn để khắc phục các lỗ hổng trong DeepSeek R1


Có bất kỳ bản vá nào có sẵn để khắc phục các lỗ hổng trong DeepSeek R1


Các báo cáo gần đây đã nhấn mạnh các lỗ hổng đáng kể trong Deepseek R1, một mô hình AI tổng quát được phát triển bởi công ty Trung Quốc Deepseek. Các lỗ hổng này bao gồm cả sự cố tiếp xúc dữ liệu chính và các lỗ hổng bảo mật cho phép khai thác độc hại.

Sự cố tiếp xúc với dữ liệu

Các nhà nghiên cứu của Wiz đã phát hiện ra rằng Deepseek có một cơ sở dữ liệu Clickhouse có thể truy cập công khai, được mở mà không có xác thực. Điều này đã phơi bày hơn một triệu dòng dữ liệu nội bộ nhạy cảm, bao gồm lịch sử trò chuyện của người dùng, bí mật API và chi tiết hoạt động. Cơ sở dữ liệu được liên kết với hai tên miền phụ của Deepseek và cho phép truy cập không giới hạn vào nhật ký nội bộ có từ ngày 6 tháng 1 năm 2025. [1] [3] [5].

lỗ hổng trong DeepSeek R1

Ngoài việc tiếp xúc với dữ liệu, các chuyên gia bảo mật đã xác định rằng Deepseek R1 dễ bị ảnh hưởng bởi các phương pháp tấn công khác nhau, bao gồm cả "bẻ lại độc ác". Kỹ thuật này cho phép các tác nhân độc hại bỏ qua các ràng buộc an toàn và tạo ra các đầu ra có hại, chẳng hạn như hướng dẫn tạo phần mềm độc hại hoặc tham gia vào gian lận tài chính. Không giống như các mô hình AI khác như GPT-4 của Openai, đã vá các lỗ hổng tương tự, Deepseek R1 vẫn có khả năng khai thác cao do quá trình lý luận minh bạch có thể được người dùng điều khiển [2] [4].

Phản hồi và bản vá

Đến bây giờ, không có đề cập cụ thể về các bản vá hoặc bản sửa lỗi đang được DeepSeek thực hiện cho các lỗ hổng này. Công ty đã thừa nhận các vấn đề nhưng không công khai chi tiết bất kỳ biện pháp khắc phục nào được thực hiện để đối phó với các vi phạm an ninh hoặc lỗ hổng được các nhà nghiên cứu xác định. Với tính chất quan trọng của những phát hiện này, điều quan trọng đối với DeepSeek là ưu tiên các cải tiến bảo mật và thực hiện các biện pháp bảo vệ mạnh mẽ để bảo vệ dữ liệu người dùng và ngăn chặn các khai thác trong tương lai [1] [2] [4].

Trích dẫn:
.
[2] https:
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-teams-need-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
.

|@.