В сеть попали личные данные пользователей китайского ИИ-стартапа DeepSeek

30.01.2025, 15:33 — Фондовый рынок

316

В сеть попали личные данные пользователей китайского ИИ-стартапа DeepSeek

Эксперты из компании Wiz Research, специализирующейся на облачной безопасности, обнаружили утечку базы данных DeepSeek, содержащую историю чатов, приватные ключи, детали бэкенда и другую конфиденциальную информацию. Об этом сообщают в блоге компании.

Китайский технологический стартап DeepSeek недавно привлек внимание, когда презентовал новую модель ИИ, которая, по словам компании, не уступает аналогам от американских компаний, таких как OpenAI, разработчик ChatGPT, и более экономически эффективно в использовании дорогих чипов Nvidia для обучения системы на огромных объемах данных.

Эксперты Wiz Research провели анализ безопасности DeepSeek по поводу возможных уязвимостей. Уже через несколько минут аналитики нашли открытую базу данных ClickHouse, связанную с DeepSeek. Она не требовала аутентификации, что давало доступ к конфиденциальной информации.

Уязвимость позволяет полностью контролировать базу данных и повышать привилегии в среде DeepSeek без механизма защиты.

Пробелы в защите удалось обнаружить путем поиска и анализа поддоменов. Изначально Wiz Research обнаружили около 30 выходящих в интернет. Большинство из них не представляли повышенного риска.

Расширив поиск за пределы стандартных HTTP-портов (80/443), удалось обнаружить два необычных открытых шлюза (8123 и 9000). Они вели в открытую базу данных ClickHouse.

ClickHouse — это колонковая система управления базами данных. Она была разработана компанией Яндекс в 2016 году и сейчас является проектом с открытым исходным кодом.

Отмечается, что команда Wiz Research сообщила о проблеме DeepSeek, после чего стартап оперативно устранил ее.