E meta kritike e sigurisë në DeepSeek ekspozon të dhënat e miliona përdoruesve

  • Studiuesit e Wiz zbuluan një bazë të dhënash të ekspozuar publikisht të DeepSeek të komprometuar me informacione kritike të përdoruesit.
  • Shkelja përfshinte mesazhet e bisedës, çelësat API dhe regjistrat e sistemit, duke zbuluar një shkelje të sigurisë me ndikim të lartë.
  • Baza e të dhënave u bllokua pas zbulimit, por është e paqartë nëse aktorët me qëllim të keq arritën në informacion.
  • Ky incident vë në pikëpyetje sigurinë e AI gjeneruese që po zhvillohet globalisht, veçanërisht në aplikacionet kineze si DeepSeek.
Alberto Navarro

Minuta 4

E metë sigurie në DeepSeek

Inteligjenca artificiale vazhdon të evoluojë me hapa të mëdhenj, por nuk është pa sfida. DeepSeek, një chatbot i inteligjencës artificiale i zhvilluar në Kinë që karakterizohet nga burimi i hapur dhe konkurrimi me gjigantë të tillë si OpenAI dhe Google, është në qendër të një skandali pas zbulimit të një shkeljeje të rëndë të sigurisë e cila ka vënë në rrezik të dhënat e miliona përdoruesve në mbarë botën.

Studiuesit në firmën e sigurisë së cloud Wiz kanë identifikuar një bazë të dhënash publike DeepSeek të aksesueshme pa kufizime të vërtetimit. Kjo bazë të dhënash, e organizuar në një sistem menaxhimi të quajtur ClickHouse, përmbante informacione të ndjeshme të tilla si çelësat API, mesazhet e bisedës me tekst të thjeshtë, regjistrat e brendshëm të sistemit dhe kërkesat e përdoruesve. Një ekspozim i tillë paraqet një rrezik të konsiderueshëm si për përdoruesit ashtu edhe për kompaninë, duke hapur dyert për sulmet kibernetike dhe keqpërdorimin e të dhënave personale.

Dobësitë e DeepSeek ngrenë shqetësime

Bazat e të dhënave të ekspozuara në DeepSeek

Raporti i Wiz detajon se si qasja në bazën e të dhënave ishte çuditërisht e lehtë. Me një skanim të përciptë, studiuesit gjetën shtegun e aksesit përmes ndërfaqes HTTP të ClickHouse, e cila lejoi që pyetjet SQL të ekzekutoheshin drejtpërdrejt nga një shfletues. Ky nivel aksesueshmërie është alarmues në çdo kontekst, por është edhe më shqetësues kur bëhet fjalë për një chatbot që trajton informacion konfidencial.

Sipas specialistëve, Baza e të dhënave përmbante mesazhe bisede, shumë prej tyre në gjuhën kineze, megjithëse nuk përjashtohet mundësia që të ketë pasur mesazhe edhe në gjuhë të tjera. Përveç kësaj, ata gjetën rrugët e brendshme të sistemit dhe çelësat API që përdoren për të vërtetuar kërkesat. Një sulmues mund të kishte përdorur këtë lloj informacioni për të manipuluar sistemet e brendshme të DeepSeek, për të hyrë në të dhëna edhe më kritike ose për të komprometuar të gjithë infrastrukturën e kompanisë.

Si përgjigje, studiuesit u përpoqën të lajmëronin mbajtësit e DeepSeek përmes mjeteve të ndryshme, duke përfshirë emailet dhe profilet e LinkedIn të lidhura me kompaninë. Edhe pse fillimisht nuk morën përgjigje, Ata bllokuan bazën e të dhënave publike rreth 30 minuta pas këtyre përpjekjeve, duke e lënë përmbajtjen e tij të paarritshme për përdoruesit e jashtëm.

Ndikimi në besimin ndaj platformave gjeneruese të AI

E meta e zbuluar e sigurisë ngre pyetje serioze në lidhje me pjekurinë dhe gatishmërinë e DeepSeek për të trajtuar informacione të ndjeshme. Sipas Ami Luttwak, CTO e Wiz, Këto lloj gabimesh janë të papranueshme në sistemet që kërkojnë të fitojnë besimin e përdoruesve dhe kompanive në mbarë botën. Megjithëse Gabimet e sigurisë nuk janë të rralla në sektorin e teknologjisë, fakti që ky boshllëk ishte kaq i lehtë për t'u gjetur dhe shfrytëzuar nxjerr në pah mungesën e masave bazë të sigurisë.

Incidenti ka rihapur gjithashtu debatin mbi rreziqet që lidhen me përdorimin e teknologjive të AI të zhvilluara në Kinë. Si Irlanda ashtu edhe Itali, midis vendeve të tjera në Bashkimin Evropian, kanë kërkuar informacion se si DeepSeek trajton të dhënat e përdoruesit dhe nëse ato ruhen në Serverët kinezë. Ky episod kujton rastet e mëparshme, si p.sh ChatGPT u bllokua përkohësisht në Itali në 2023 për shkak të shqetësimeve të ngjashme.

Dilema me burim të hapur

Menaxhimi i të dhënave në DeepSeek

Duke qenë me burim të hapur, DeepSeek ofron disa avantazhe të tilla si aksesueshmëria për zhvilluesit dhe startup-et. Megjithatë, Kjo veçori gjithashtu rrit rrezikun e mjeteve me qëllim të keq që shfrytëzojnë dobësitë në infrastrukturën tuaj, siç ka ndodhur në këtë rast. Ekspertët e sigurisë paralajmërojnë se modelet si DeepSeek duhet të auditohen tërësisht dhe të monitorohen vazhdimisht për të parandaluar shkelje të tilla.

Ndërsa ndikimi i DeepSeek vazhdon të rritet, po ashtu rriten edhe shqetësimet rreth privatësisë dhe sigurisë kibernetike. Kushtet e shërbimit të chatbot zbulojnë se kompania mbledh dhe ruan të dhënat e përdoruesve për një kohë të pacaktuar, një fakt që mund të shkaktojë kritika të mëtejshme dhe shqyrtim ndërkombëtar.

Ky incident nxjerr në pah Rëndësia e vendosjes së standardeve më strikte globale për të garantuar sigurinë dhe privatësinë e të dhënave të përdoruesit. Në një botë gjithnjë e më të varur nga këto teknologji, zhvilluesit duhet t'i japin përparësi besimit dhe transparencës si shtylla themelore të zhvillimit të tyre.


Na ndiqni në Google News

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Blog aktualidad
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.