Kunstig intelligens fortsetter å utvikle seg med stormskritt, men det er ikke uten utfordringer. DeepSeek, en kunstig intelligens chatbot utviklet i Kina som er preget av å være åpen kildekode og konkurrere med giganter som OpenAI og Google, er i sentrum av en skandale etter avsløringen av et alvorlig sikkerhetsbrudd som har satt dataene til millioner av brukere over hele verden i fare.
Forskere ved skysikkerhetsfirmaet Wiz har identifisert en offentlig DeepSeek-database som er tilgjengelig uten autentiseringsbegrensninger. Denne databasen, som ligger på et styringssystem kalt ClickHouse, inneholdt sensitiv informasjon slik som API-nøkler, chat-meldinger i ren tekst, interne systemlogger og brukerforespørsler. Slik eksponering representerer en betydelig risiko for både brukere og selskapet, og åpner dører for nettangrep og misbruk av personopplysninger.
DeepSeek-sårbarheter vekker bekymring
Wiz sin rapport beskriver hvordan tilgangen til databasen var overraskende enkel. Med en overfladisk skanning fant forskerne tilgangsbanen gjennom ClickHouse sitt HTTP-grensesnitt, som tillot SQL-spørringer å bli utført direkte fra en nettleser. Dette tilgjengelighetsnivået er alarmerende i enhver sammenheng, men det er enda mer bekymringsfullt når det kommer til en chatbot som håndterer konfidensiell informasjon.
I følge spesialister, Databasen inneholdt chat-meldinger, mange av dem på kinesisk, selv om det ikke er utelukket at det også var meldinger på andre språk. I tillegg fant de interne systemruter og API-nøkler som brukes til å autentisere forespørsler. En angriper kunne ha brukt denne typen informasjon til å manipulere DeepSeeks interne systemer, få tilgang til enda mer kritiske data eller kompromittere hele selskapets infrastruktur.
Som svar forsøkte forskere å varsle DeepSeeks behandlere på forskjellige måter, inkludert e-poster og LinkedIn-profiler knyttet til selskapet. Selv om de i utgangspunktet ikke fikk noe svar, De blokkerte den offentlige databasen omtrent 30 minutter etter disse forsøkene, og lar innholdet være utilgjengelig for eksterne brukere.
Innvirkning på tillit til generative AI-plattformer
Den oppdagede sikkerhetsfeilen reiser alvorlige spørsmål om DeepSeeks modenhet og beredskap til å håndtere sensitiv informasjon. I følge Ami Luttwak, CTO i Wiz, Denne typen feil er uakseptable i systemer som søker å vinne tilliten til brukere og selskaper over hele verden. Selv Sikkerhetsfeil er ikke uvanlig i teknologisektoren, det faktum at dette gapet var så enkelt å finne og utnytte fremhever mangel på grunnleggende sikkerhetstiltak.
Hendelsen har også gjenåpnet debatten om risikoen knyttet til bruken av AI-teknologier utviklet i Kina. Både Irland og Italia, blant andre land i EU, har bedt om informasjon om hvordan DeepSeek håndterer brukerdata og om de er lagret i kinesiske servere. Denne episoden minner om tidligere tilfeller, for eksempel ChatGPT ble midlertidig blokkert i Italia i 2023 på grunn av lignende bekymringer.
Åpen kildekode-dilemmaet
Som åpen kildekode tilbyr DeepSeek visse fordeler som tilgjengelighet for utviklere og startups. Imidlertid Denne funksjonen øker også risikoen for at ondsinnede verktøy utnytter sårbarheter i infrastrukturen din, slik det har skjedd i dette tilfellet. Sikkerhetseksperter advarer om at modeller som DeepSeek må revideres grundig og kontinuerlig overvåkes for å forhindre slike brudd.
Ettersom DeepSeeks innflytelse fortsetter å vokse, øker bekymringene også personvern og cybersikkerhet. Chatbotens vilkår for bruk avslører at selskapet samler inn og beholder brukerdata på ubestemt tid, et faktum som kan utløse ytterligere kritikk og internasjonal gransking.
Denne hendelsen fremhever Viktigheten av å etablere strengere globale standarder for å sikre sikkerheten og personvernet til brukerdata. I en verden som blir stadig mer avhengig av disse teknologiene, må utviklere prioritere tillit og åpenhet som grunnleggende pilarer i deres utvikling.