Một công ty bảo mật đám mây đã tìm thấy một cơ sở dữ liệu có thể truy cập công khai, có thể kiểm soát hoàn toàn thuộc về DeepSeek, công ty Trung Quốc gần đây đã làm rung chuyển thế giới AI, “trong vòng vài phút” sau khi kiểm tra bảo mật của DeepSeek, theo một bài đăng trên blog của Wiz".
Cơ sở dữ liệu ClickHouse phân tích gắn liền với DeepSeek, “hoàn toàn mở và không được xác thực,” chứa hơn 1 triệu phiên bản lịch sử trò chuyện “, dữ liệu phụ trợ và thông tin nhạy cảm, bao gồm luồng nhật ký, bí mật API và chi tiết hoạt động,” theo Wiz. Giao diện web mở cũng cho phép kiểm soát cơ sở dữ liệu đầy đủ và leo thang đặc quyền, với các điểm cuối và khóa API nội bộ có sẵn thông qua giao diện và các tham số URL chung.
“Mặc dù phần lớn sự chú ý xung quanh bảo mật AI tập trung vào các mối đe dọa trong tương lai, nhưng những mối nguy hiểm thực sự thường đến từ những rủi ro cơ bản, giống như việc vô tình tiếp xúc với cơ sở dữ liệu bên ngoài, — Gal Nagli viết trên blog của Wiz. “Khi các tổ chức vội vàng áp dụng các công cụ và dịch vụ AI từ số lượng công ty khởi nghiệp và nhà cung cấp ngày càng tăng, điều cần thiết cần nhớ là bằng cách làm như vậy, chúng tôi đang ủy thác cho các công ty này dữ liệu nhạy cảm. Tốc độ áp dụng nhanh chóng thường dẫn đến việc bỏ qua bảo mật, nhưng việc bảo vệ dữ liệu khách hàng vẫn phải là ưu tiên hàng đầu.”
Ars đã liên hệ với DeepSeek để nhận xét và sẽ cập nhật bài đăng này với bất kỳ phản hồi nào. Wiz lưu ý rằng họ không nhận được phản hồi từ DeepSeek về những phát hiện của mình, nhưng sau khi liên hệ với mọi email DeepSeek và hồ sơ LinkedIn mà Wiz có thể tìm thấy vào thứ Tư, công ty đã bảo vệ cơ sở dữ liệu mà Wiz đã truy cập trước đó trong vòng nửa giờ.
.jpg)
