- Vlada Crne Gore
CIRT državne uprave Crne Gore Deep Seek AI bezbjednosni skandal: Procurili tajni...
Deep Seek AI bezbjednosni skandal: Procurili tajni ključevi i milioni logova
Kineski AI startap Deep Seek nedavno je doživio ozbiljan bezbjednosni incident kada je jedna od njegovih baza podataka ostala nezaštićena na internetu. Zahvaljujući svojim open source modelima za koje se tvrdi da mogu parirati vodećim AI sistemima, Deep Seek istovremeno ostaje isplativ i efikasan. Njegov model rezonovanja R1 nazvan je „AI-jev Sputnik trenutak“, a chat bot aplikacija dostigla je vrh top lista na prodavnicama aplikacija u više zemalja. Međutim, kompanija se suočila sa masovnim zlonamjernim napadima što ju je primoralo da privremeno obustavi registracije korisnika 29 januara 2025, ali su ipak brzo identifikovali problem i objavili da rade na njegovom rješenju.
Nezaštićena ClickHouse baza sadržala je preko milion redova logova, uključujući osjetljive informacije poput istorije razgovora, tajnih ključeva, podataka o bekendu, API ključeva i operativnih metapodataka. Propust je potencijalnim napadačima omogućio potpunu kontrolu nad bazom, uključujući neovlašćen pristup internim podacima. Baza podataka hostovana na oauth2callback.deepseek[.]com:9000 i dev.deepseek[.]com:9000 omogućila je neovlašćeno pristupanje širokom spektru informacija.
Incident je otkrila firma za sajber bezbjednost Wiz, nakon čega je Deep Seek brzo osigurao bazu podataka. Ipak, bilo im je jasno da je prethodno omogućena potpuna kontrola baze podataka i potencijalno neovlašćeno sticanje viših privilegija unutar Deep Seek okruženja bez potrebe za autentifikacijom. Međutim, nije poznato da li su prije toga zlonamjerni akteri uspjeli da pristupe ili preuzmu podatke. Ovaj događaj apostrofira rizike povezane sa brzim razvojem AI servisa bez adekvatnih sigurnosnih mjera i upućuje na šta treba posebno obratiti pažnju u narednom periodu.
Istovremeno startap je pod istragom zbog svojih politika privatnosti i veza sa Kinom što je izazvalo zabrinutost u SAD-u. Takođe, italijanski regulator za zaštitu podataka ispituje način na koji kompanija upravlja podacima, zbog čega je aplikacija postala nedostupna u Italiji. Sličan zahtjev uputila je Irska komisija za zaštitu podataka (DPC). Još veći skandal je možda u tome da je Deep Seek možda koristio OpenAI-ev API bez dozvole kako bi trenirao sopstvene modele metodom distilacije – tehnikom preuzimanja znanja iz izlaza postojećih AI sistema. OpenAI i Microsoft istražuju ove tvrdnje, a OpenAI je potvrdio da grupe u Kini aktivno rade na replikaciji naprednih američkih AI modela.
Izvor: