A legfrissebb jelentések kiemelték a DeepSeek R1, a Generative AI modell jelentős sebezhetőségét, amelyet a DeepSeek kínai vállalat fejlesztett ki. Ezek a sebezhetőségek magukban foglalják mind a jelentős adat -expozíciós eseményeket, mind a biztonsági hibákat, amelyek lehetővé teszik a rosszindulatú kizsákmányolást.
Adat -expozíciós esemény
A Wiz kutatói rájöttek, hogy a DeepSeek -nek nyilvánosan hozzáférhető Clickhouse adatbázisa van, amelyet hitelesítés nélkül nyitva hagytak. Ez több mint egymillió sor érzékeny belső adatot tett ki, beleértve a felhasználói csevegési előzményeket, az API -titkokat és az operatív részleteket. Az adatbázist összekapcsolták a DeepSeek két aldomainjéhez, és korlátlan hozzáférést tettek lehetővé a belső naplókhoz, 2025. január 6 -án. [1] [3] [5].Sebezhetőségek a DeepSeek R1 -ben
Az adatkivitel mellett a biztonsági szakértők megállapították, hogy a DeepSeek R1 hajlamos különféle támadási módszerekre, ideértve a "Gonosz Jailbreak" -ot is. Ez a technika lehetővé teszi a rosszindulatú szereplők számára, hogy megkerüljék a biztonsági korlátokat és káros outputokat generáljanak, például utasításokat a rosszindulatú programok létrehozásához vagy a pénzügyi csalások bevonásához. Más AI modellektől eltérően, mint például az Openai GPT-4, amelyek hasonló sebezhetőségeket javítottak, a DeepSeek R1 továbbra is rendkívül kizsákmányolható annak átlátható érvelési folyamata miatt, amelyet a felhasználók manipulálhatnak [2] [4].Válasz és javítások
Mostanáig nincs konkrét említeni a javításokat vagy javításokat, amelyeket a DeepSeek hajt végre ezekre a sebezhetőségekre. A társaság elismerte a kérdéseket, de nem ismertette nyilvánosan a kutatók által azonosított biztonsági megsértésekre vagy sebezhetőségekre adott korrekciós intézkedéseket. Figyelembe véve ezen megállapítások kritikus jellegét, elengedhetetlen, hogy a DeepSeek prioritást élvezhessen a biztonsági fejlesztések prioritása és robusztus védő intézkedéseket hajtson végre a felhasználói adatok védelme és a jövőbeli kizsákmányolás megakadályozása érdekében [1] [2] [4].Idézetek:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kecyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-dinces
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-what-security-tams-need-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-now-valable-in-github-models-public-preview/