Платформа генеративного інтелекту DeepSeek засяяла на цьому тижні, але з великою популярністю приходить і підвищена увага до неї. Аналітики з Wiz Research виявили досить суттєву прогалину в безпеці програмного забезпечення. Дослідження показало, що DeepSeek залишив одну з критично важливих баз даних незахищеною.
Це означає, що будь-хто, хто натрапив на базу даних, отримав би доступ до більш ніж одного мільйона записів, включаючи дані користувачів, системні журнали, ключі API і навіть швидкі відправлення. Дослідники також зазначили, що вони змогли знайти базу даних майже відразу, без надто тривалого сканування або зондування.
“Зазвичай, коли ми знаходимо подібні вразливості, вони знаходяться в якомусь занедбаному сервісі, на пошук якого ми витрачаємо години – години сканування”, – розповів Wired Нір Охфельд (Nir Ohfeld), керівник відділу досліджень вразливостей компанії Wiz. Але цього разу, за його словами, “він був біля вхідних дверей”.
Wiz Research каже, що цілком можливо, що зловмисник міг використати цю діру в безпеці для доступу до інших систем DeepSeek, але компанія визнає, що провела лише базову мінімальну оцінку. Це було зроблено для того, щоб підтвердити свої висновки без подальшого порушення конфіденційності користувачів. Також немає жодних доказів того, що хтось інший знайшов базу даних.
Співробітники Wiz не знали, як розголошувати свої висновки, враховуючи, що DeepSeek є новою компанією і базується в Китаї. Зрештою, дослідники надіслали свої висновки на всі адреси електронної пошти та профілі LinkedIn, які змогли знайти. База даних була заблокована протягом 30 хвилин після масової розсилки.
DeepSeek – не єдина AI-компанія, яка зіткнулася з серйозним порушенням безпеки (або навіть двома.) Хакер зміг отримати доступ до внутрішніх журналів повідомлень OpenAI ще у 2023 році, а пізніше того ж року баг призвів до витоку особистої інформації.
“ШІ – це новий рубіж у всьому, що пов’язано з технологіями та кібербезпекою, – сказав Охфельд. “Проте ми бачимо все ті ж старі вразливості, такі як відкриті бази даних в Інтернеті”.
Як уже згадувалося раніше, DeepSeek захопив світ штурмом протягом останнього тижня або близько того. Проривна модель штучного інтелекту нібито була створена всього за кілька мільйонів доларів. OpenAI щороку витрачає мільярди доларів. Ця величезна фінансова розбіжність призвела до падіння фондового ринку, і багато акцій компаній, пов’язаних зі штучним інтелектом, різко впали в ціні.
