Son raporlar, Çinli şirket Deepseek tarafından geliştirilen üretken bir AI modeli olan Deepseek R1'de önemli güvenlik açıklarını vurguladı. Bu güvenlik açıkları, hem büyük bir veri maruziyet olayı hem de kötü niyetli sömürü sağlayan güvenlik kusurlarını içerir.
Veri Maruz kalma olayı
Wiz araştırmacıları, Deepseek'in herhangi bir kimlik doğrulaması olmadan açık bırakılan halka açık bir Clickhouse veritabanına sahip olduğunu keşfetti. Bu, kullanıcı sohbet geçmişleri, API sırları ve operasyonel detaylar dahil olmak üzere bir milyondan fazla hassas dahili veri açığa çıkardı. Veritabanı, Deepseek'in alt alanlarından ikisine bağlandı ve 6 Ocak 2025'e kadar uzanan dahili günlüklere sınırsız erişime izin verdi. [1] [3] [5].Deepseek R1'de Güvenlik Açıkları
Veri maruziyetine ek olarak, güvenlik uzmanları Deepseek R1'in "kötü jailbreak" dahil olmak üzere çeşitli saldırı yöntemlerine duyarlı olduğunu belirlemiştir. Bu teknik, kötü niyetli aktörlerin güvenlik kısıtlamalarını atlamasına ve kötü amaçlı yazılım oluşturma veya finansal sahtekarlığa katılma talimatları gibi zararlı çıktılar üretmesine olanak tanır. Openai'nin GPT-4 gibi benzer güvenlik açıklarını yamalayan diğer AI modellerinin aksine, Deepseek R1, kullanıcılar tarafından manipüle edilebilecek şeffaf akıl yürütme süreci nedeniyle oldukça sömürülebilir [2] [4].yanıt ve yamalar
Şu andan itibaren, bu güvenlik açıkları için Deepseek tarafından uygulanan yamalar veya düzeltmelerden özel bir söz yoktur. Şirket, sorunları kabul etmiştir, ancak araştırmacılar tarafından belirlenen güvenlik ihlallerine veya güvenlik açıklarına yanıt olarak alınan herhangi bir düzeltici önlemi kamuoyuna açıklamamıştır. Bu bulguların kritik doğası göz önüne alındığında, Deepseek'in güvenlik geliştirmelere öncelik vermesi ve kullanıcı verilerini korumak ve gelecekteki istismarları önlemek için güçlü koruyucu önlemler uygulaması çok önemlidir [1] [2] [4].Alıntılar:
[1] https://cyberscoop.com/deepseek-aicity-issues-wiz-research/
[2] https://www.kelacyber.com/blog/deepseek-r1-security-flaws/
[3] https://www.theregister.com/2025/01/30/deepseek_database_left_open/
[4] https://nordicdefender.com/blog/deepseek-ai-security-privacy-risks
[5] https://www.wiz.io/blog/wiz-research-ungovers-isposed-deepseek-database-leak
[6] https://news.ycombinator.com/item?id=42852866
[7] https://www.endorlabs.com/learn/deepseek-r1-whats-security-teams-need-to-to-nown
[8] https://github.com/deepseek-ai/deepseek-r1/activity
[9] https://github.blog/changelog/2025-01-29-deepseek-r1-is-s-wailable-in-github-models-puble-preview/