Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon มีแพตช์ใด ๆ บ้างเพื่อแก้ไขช่องโหว่ใน Deepseek R1


มีแพตช์ใด ๆ บ้างเพื่อแก้ไขช่องโหว่ใน Deepseek R1


รายงานล่าสุดได้เน้นถึงช่องโหว่ที่สำคัญใน Deepseek R1 ซึ่งเป็นแบบจำลอง AI ที่พัฒนาโดย บริษัท จีน Deepseek ช่องโหว่เหล่านี้รวมถึงทั้งเหตุการณ์การเปิดเผยข้อมูลที่สำคัญและข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ใช้ประโยชน์จากการแสวงประโยชน์ที่เป็นอันตราย

เหตุการณ์การเปิดเผยข้อมูล

นักวิจัยของ Wiz ค้นพบว่า Deepseek มีฐานข้อมูล Clickhouse ที่เข้าถึงได้สาธารณะซึ่งเปิดอยู่โดยไม่มีการรับรองความถูกต้องใด ๆ สิ่งนี้เปิดเผยข้อมูลภายในที่ละเอียดอ่อนกว่าล้านบรรทัดรวมถึงประวัติการแชทของผู้ใช้ความลับ API และรายละเอียดการดำเนินงาน ฐานข้อมูลเชื่อมโยงกับโดเมนย่อยของ Deepseek สองตัวและอนุญาตให้เข้าถึงบันทึกภายในไม่ จำกัด ย้อนหลังไปถึงวันที่ 6 มกราคม 2568 นักวิจัยสามารถเรียกใช้การสืบค้น SQL โดยพลการซึ่งอาจนำไปสู่การสกัดข้อมูลเพิ่มเติมและการเพิ่มสิทธิพิเศษที่อาจเกิดขึ้นภายในระบบของ บริษัท [1] [3] [5]

ช่องโหว่ใน Deepseek R1

นอกเหนือจากการเปิดรับข้อมูลแล้วผู้เชี่ยวชาญด้านความปลอดภัยได้ระบุว่า Deepseek R1 นั้นมีความอ่อนไหวต่อวิธีการโจมตีที่หลากหลายรวมถึง "Evil Jailbreak" เทคนิคนี้ช่วยให้นักแสดงที่เป็นอันตรายสามารถข้ามข้อ จำกัด ด้านความปลอดภัยและสร้างผลลัพธ์ที่เป็นอันตรายเช่นคำแนะนำในการสร้างมัลแวร์หรือมีส่วนร่วมในการฉ้อโกงทางการเงิน ซึ่งแตกต่างจากรุ่น AI อื่น ๆ เช่น GPT-4 ของ Openai ซึ่งมีช่องโหว่ที่คล้ายคลึงกัน Deepseek R1 ยังคงใช้ประโยชน์ได้สูงเนื่องจากกระบวนการให้เหตุผลที่โปร่งใสซึ่งผู้ใช้สามารถจัดการได้ [2] [4]

การตอบสนองและแพตช์

ณ ตอนนี้ยังไม่มีการกล่าวถึงแพตช์หรือการแก้ไขเฉพาะที่นำไปใช้โดย Deepseek สำหรับช่องโหว่เหล่านี้ บริษัท ได้รับทราบปัญหา แต่ยังไม่ได้ให้รายละเอียดเกี่ยวกับมาตรการแก้ไขใด ๆ ที่ดำเนินการเพื่อตอบสนองต่อการละเมิดความปลอดภัยหรือช่องโหว่ที่ระบุโดยนักวิจัย เมื่อพิจารณาถึงลักษณะที่สำคัญของการค้นพบเหล่านี้จึงเป็นสิ่งสำคัญสำหรับ Deepseek ในการจัดลำดับความสำคัญของการปรับปรุงความปลอดภัยและใช้มาตรการป้องกันที่แข็งแกร่งเพื่อปกป้องข้อมูลผู้ใช้และป้องกันการหาประโยชน์ในอนาคต [1] [2] [4]

การอ้างอิง:
[1] https://cyberscoop.com/deepseek-ai-security-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1- what-security-teams-need-to-know
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-Deepseek-r1-is-now-available-in-github-models-public-preview/