Zbulohen të meta sigurie tek DeepSeek

Hulumtuesit nga kompania e sigurisë kibernetike, Wiz kanë analizuar sistemet e brendshme të modelit revolucionar me burim të hapur, DeepSeek, kur brenda vetëm disa minutash zbuluan se mund të kishin qasje pa asnjë pengesë në një sasi të madhe të të dhënave të brendshme të paenkriptuara.

“Kjo bazë të dhënash përmbante një sasi të konsiderueshme të historisë së bisedave, të dhënave të brendshme dhe informacionit të ndjeshëm, duke përfshirë rrjedhat e regjistrave, çelësat API dhe detaje operative”, thuhet në raportin e Wiz mbi cenueshmërinë.

“Ajo që është edhe më keq, ky dështim i dukshëm i sigurisë në sistemin e inteligjencës artificiale me burim të hapur mund të kishte lejuar një sulm ndaj sistemeve të DeepSeek pa asnjë mekanizëm autentifikimi apo mbrojtjeje nga bota e jashtme”, shkruajnë studiuesit.

Siç është përmendur në raportin e Wiz mbi këtë mangësi serioze, DeepSeek ndërmori masa për të siguruar bazat e saj të të dhënave menjëherë pasi studiuesit e sigurisë e paralajmëruan kompaninë për rrjedhjen e të dhënave.

Critical vulnerabilities doesn’t have to be complex or have a CVE – @deepseek_ai publicly exposed their internal ClickHouse database to the world, without any authentication at all, and leaked sensitive data.

No one is safe from security mistakes, follow along to learn more 🧵 pic.twitter.com/pCsB7x2kwC

— Nagli (@galnagli) January 29, 2025

Jo. Në një intervistë për Wired, ekspertët e sigurisë nga Wiz thanë se ishte jashtëzakonisht e vështirë të kontaktonin me njerëzit nga DeepSeek. Për këtë arsye, ata u detyruan të mbështeteshin te mesazhet në LinkedIn dhe email, të cilat i dërguan në të gjitha llogaritë e lidhura me DeepSeek që mundën të gjenin ose supozuan se ishin të tyre.

Askush nga DeepSeek nuk iu përgjigj përpjekjeve të Wiza për t’i kontaktuar, por brenda një ore, baza e të dhënave u bllokua, raporton Wired.

Problemi i sigurisë nuk ishte i fshehur apo i vështirë për t’u zbuluar. “Zakonisht, kur gjejmë një rrjedhje të tillë të të dhënave, ndodh me shërbime të lëna pas dore, të cilat i kërkojmë për orë të tëra – orë skanimi”, tha Nir Ohfeld, drejtuesi i kërkimeve për cenueshmëri në Wiz, për Wired.

DeepSeek AI had a flaw that let attackers take over accounts without user interaction. Hussein Ahmed Albree caught it, DeepSeek patched it, but damn—AI security needs to step up. This is why I love Ollama and running as much as I can locally, offline. pic.twitter.com/pqZWPl7iPJ

— Sam Bent (@DoingFedTime) January 29, 2025

Duke pasur qasje në bazat e të dhënave të DeepSeek, hulumtuesit nga Wiz zbuluan shumë detaje mbi mënyrën se si kompania zhvillon modelet e saj, përfshirë faktin që infrastruktura e tyre imiton pothuajse plotësisht atë të OpenAI.

Një qasje e tillë në të dhënat e një kompanie që është bërë jashtëzakonisht e njohur brenda një kohe të shkurtër është relativisht e sigurt në duart e hakerëve etikë.

Megjithatë, studiuesit thanë për Wired se, nëse dikush tjetër do të kishte hyrë në bazat e të dhënave të DeepSeek përpara tyre, mund të kishte vjedhur me lehtësi aq shumë të dhëna të brendshme sa të dëshironte, me përpjekje minimale. /Telegrafi/