セキュリティ会社Wiz Researchが発見しましたDeepSeekに属するデータベースの深刻なセキュリティ欠陥、中国の人工知能のスタートアップ。データベースであるClickhouseは、認証要件なしで公開されていることがわかりました。
知恵により、データベース操作の完全な制御と内部機密データへのアクセスが可能になりました。 Wiz Researchは、すぐに欠陥を閉じたDeepseekに警告しました。ただし、1月を通して、攻撃者は、サーバーからログ、ライトパスワード、さらにはローカルファイルを使用する可能性があります。
保護欠陥
Deepseekは今週、、しかし、リソースの面では明らかに軽量で要求が少ない。モデルはオープンソースとしても配布されました。
Wiz Researchは、Deepseekの外部露出を分析し、会社に接続されている約30のサブドメインを特定しました。これらのほとんどは無害でしたが、それらの2つでは、チームは2つの異常なドアが存在することに気付きました。これらの1つは、GoogleまたはAppleアカウントを介してアクセスするときに認証トークンを受信するサーバー、もう1つのインスタンスはClickhouseは、資格情報なしで完全にオープンします。
Clickhouseは、大規模なデータボリュームのクイッククエリ用に設計されたオープンソースDBMS、列です。ロシアのヤンデックスによって開発され、多くの企業が実際のリアルタイム管理とビッグデータ分析に使用しています。それが公開されていることを発見することは深刻なリスクです。Wiz Researchは、ブラウザから直接SQLクエリを実行することができました、チャット年代科、ミツバチの鍵、バックナンドの詳細、運用上のメタデータなど、100万個以上のログを含むテーブルにアクセスします。
ペンタゴンの介入
それまでの間、ペンタゴンも持っていますDeepseekのWebサイトへのアクセスは、安全性の懸念に従ってサーバーにブロックされています。国防総省の従業員は、活動が発見される前に約2日間Deepseekチャットボットを使用していたようです。 PentagonのITネットワーク責任者である防衛情報システム機関は、先週の火曜日にDeepSeek Webサイトへのアクセスをブロックしました。
Wiz Researchによって発見された欠陥を超えて、主な関心事は、ユーザーのデータが中国のサーバーに保存されていると述べているDeepseekのプライバシーポリシーに関するものです。これにより、敏感な情報には中国政府がアクセスできるという恐怖が高まりました。
、GDPRへのコンプライアンスに関する疑問のために、AppleおよびGoogleストアからアプリを削除します。個人データの保護のための保証人は、欧州のプライバシー法の遵守に関する質問に答えるために、20日間DeepSeekに付与されています。
封鎖にもかかわらず、米軍人は、中国のサーバーに接続しない認定ソフトウェアプラットフォームであるAsk Sageを介してDeepseekにアクセスできます。しかし、米国政府は、奉仕の人気の高まりと国家安全保障に対する恐怖を考慮して、ディープセークに対してさらなる措置を講じる可能性があります。