1 milyondan fazla günlük hattı, gizli anahtarlar sızdı


30 Ocak 2025Ravie LakshmananYapay Zeka / Veri Gizliliği

Deepseek AI Veritabanı

Son günlerde popülerlikte meteorik bir artışa sahip olan Buzzy Çin Yapay Zekası (AI) Startup Deepseek, veritabanlarından birini internette maruz bıraktı ve bu da kötü niyetli aktörlerin hassas verilere erişmesine izin verebilir.

Wiz Güvenlik Araştırmacısı Gal Nagli, Clickhouse veritabanı “dahili verilere erişme de dahil olmak üzere veritabanı işlemleri üzerinde tam kontrol sağlar.” Dedi.

Pozlama ayrıca sohbet geçmişi, gizli anahtarlar, arka uç detayları ve API sırları ve operasyonel meta veriler gibi diğer son derece hassas bilgileri içeren bir milyondan fazla günlük akışı içerir. Deepseek, o zamandan beri bulut güvenlik firmasının onlarla iletişim kurma girişimlerinin ardından güvenlik deliğini taktı.

Siber güvenlik

OAUTH2Callback.Deepseek’te barındırılan veritabanı[.]com: 9000 ve Dev.Deepseek[.]com: 9000, çok çeşitli bilgilere yetkisiz erişim sağladığı söyleniyor. Wiz, herhangi bir kimlik doğrulaması gerekmeden DeepSeek ortamında tam veritabanı kontrolü ve potansiyel ayrıcalık artışına izin verildiğine dikkat çekti.

Bu, doğrudan web tarayıcısı aracılığıyla keyfi SQL sorgularını yürütmek için Clickhouse’un HTTP arabiriminden yararlanmayı içeriyordu. Şu anda diğer kötü niyetli aktörlerin verilere erişme veya indirme fırsatını ele geçirip ele geçirmediği belirsiz.

Hacker News ile paylaşılan bir açıklamada Nagli, “AI hizmetlerinin karşılık gelen güvenlik olmadan hızlı bir şekilde benimsenmesi doğal olarak risklidir.” Dedi. “Yapay zeka güvenliği etrafındaki dikkatin çoğu fütüristik tehditlere odaklanırken, gerçek tehlikeler genellikle veritabanlarının kazara dışsal maruz kalması gibi temel risklerden gelir.”

“Müşteri verilerinin korunması, güvenlik ekipleri için en önemli öncelik olarak kalmalıdır ve güvenlik ekiplerinin verileri korumak ve maruz kalmayı önlemek için AI mühendisleri ile yakın çalışması çok önemlidir.”

Deepseek AI Veritabanı
Deepseek AI Veritabanı

Deepseek, Openai gibi önde gelen AI sistemlerine rakip olduğunu ve aynı zamanda verimli ve uygun maliyetli olduğunu iddia eden çığır açan açık kaynaklı modelleri için AI çevrelerinde du jour konusu haline geldi. Akıl yürütme modeli R1 “AI’nın Sputnik anı” olarak selamlandı.

UpStart’ın AI chatbot’u, “büyük ölçekli kötü niyetli saldırıların” hedefi olarak ortaya çıkmasına rağmen, geçici olarak kayıtları duraklatmaya teşvik etse bile, çeşitli pazarlarda Android ve iOS genelinde uygulama mağazası grafiklerinin zirvesine çıktı.

29 Ocak 2025’te yayınlanan bir güncellemede, şirket sorunu belirlediğini ve bir düzeltme uygulamak için çalıştığını söyledi.

Aynı zamanda, şirket aynı zamanda gizlilik politikaları hakkında incelemenin sonunda, Çin bağlarının ABD için ulusal güvenlik endişesi meselesi haline gelmediğinden bahsetmedi.

Siber güvenlik

Ayrıca, Deepseek’in uygulamaları, ülkenin veri koruma düzenleyicisinin veri işleme uygulamaları ve eğitim verilerini nerede aldığı hakkında bilgi istedikten kısa bir süre sonra İtalya’da kullanılamıyordu. Uygulamaların geri çekilmesinin bekçi köpeğinden gelen sorulara yanıt olup olmadığı bilinmemektedir.

Bloomberg, The Financial Times ve The Wall Street Journal, hem Openai hem de Microsoft’un Deepseek’in Openai’nin Uygulama Programlama Arayüzünü (API) Openai sistemlerinin çıktısında eğitme izni olmadan kullanıp kullanmadığını araştırdığını bildirdi, bu da bir yaklaşım olarak adlandırılan bir yaklaşım damıtma.

“Grupların [China] Bir Openai sözcüsü The Guardian’a verdiği demeçte, gelişmiş AI modellerini çoğaltmaya çalışmak için damıtma olarak bilinen de dahil olmak üzere yöntemleri kullanmaya çalışıyorlar.

Bu makaleyi ilginç mi buldunuz? Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link