- Влада Црне Горе
ЦИРТ државне управе Црне Горе Дееп Сеек АИ безбједносни скандал: Процурили тајни...
Дееп Сеек АИ безбједносни скандал: Процурили тајни кључеви и милиони логова
Кинески АИ стартап Дееп Сеек недавно је доживио озбиљан безбједносни инцидент када је једна од његових база података остала незаштићена на интернету. Захваљујући својим опен соурце моделима за које се тврди да могу парирати водећим АИ системима, Дееп Сеек истовремено остаје исплатив и ефикасан. Његов модел резоновања Р1 назван је „АИ-јев Спутник тренутак“, а цхат бот апликација достигла је врх топ листа на продавницама апликација у више земаља. Међутим, компанија се суочила са масовним злонамјерним нападима што ју је приморало да привремено обустави регистрације корисника 29 јануара 2025, али су ипак брзо идентификовали проблем и објавили да раде на његовом рјешењу.
Незаштићена ЦлицкХоусе база садржала је преко милион редова логова, укључујући осјетљиве информације попут историје разговора, тајних кључева, података о бекенду, АПИ кључева и оперативних метаподатака. Пропуст је потенцијалним нападачима омогућио потпуну контролу над базом, укључујући неовлашћен приступ интерним подацима. База података хостована на оаутх2цаллбацк.деепсеек[.]цом:9000 и дев.деепсеек[.]цом:9000 омогућила је неовлашћено приступање широком спектру информација.
Инцидент је открила фирма за сајбер безбједност Wиз, након чега је Дееп Сеек брзо осигурао базу података. Ипак, било им је јасно да је претходно омогућена потпуна контрола базе података и потенцијално неовлашћено стицање виших привилегија унутар Дееп Сеек окружења без потребе за аутентификацијом. Међутим, није познато да ли су прије тога злонамјерни актери успјели да приступе или преузму податке. Овај догађај апострофира ризике повезане са брзим развојем АИ сервиса без адекватних сигурносних мјера и упућује на шта треба посебно обратити пажњу у наредном периоду.
Истовремено стартап је под истрагом због својих политика приватности и веза са Кином што је изазвало забринутост у САД-у. Такође, италијански регулатор за заштиту података испитује начин на који компанија управља подацима, због чега је апликација постала недоступна у Италији. Сличан захтјев упутила је Ирска комисија за заштиту података (ДПЦ). Још већи скандал је можда у томе да је Дееп Сеек можда користио ОпенАИ-ев АПИ без дозволе како би тренирао сопствене моделе методом дистилације – техником преузимања знања из излаза постојећих АИ система. ОпенАИ и Microsoft истражују ове тврдње, а ОпенАИ је потврдио да групе у Кини активно раде на репликацији напредних америчких АИ модела.
Извор: