超過一百萬行的DeepSeek聊天記錄在短短幾分鐘內被曝光
作者:Willow Roberts 於2025年1月30日 上午9:23 發佈
來自Wiz的網絡安全研究人員發現了一個由中國人工智能初創公司DeepSeek擁有的ClickHouse數據庫,該數據庫內包含超過一百萬行的聊天記錄和敏感資訊。這個數據庫是公開可訪問的,並允許研究人員完全控制數據庫操作。
在Wiz將其發現告知DeepSeek後,這一安全漏洞迅速被修補,但有可能在此之前信息已經被曝光。這類研究出於道德原因不會深入探查找到的數據庫,但Wiz得出結論,攻擊者可能在DeepSeek環境內提升權限,檢索敏感日誌、聊天信息、密碼和本地文件,且無需任何身份驗證。
Wiz選擇針對DeepSeek進行調查,因為最近媒體對其R1推理模型的關注,目的是評估其外部安全性。令人驚訝的是,經過幾分鐘的基本搜索後,ClickHouse數據庫便被發現,Wiz能夠通過ClickHouse的HTTP界面與之互動。
研究人員只需運行一條SHOW TABLES;查詢,便能顯示可訪問的數據集列表,其中包括包含大量敏感信息的“log_steam”表。
在報告中,Wiz警告AI技術的快速採用,以及這種壓力如何促使企業盡快開發、發布和整合AI產品,從而導致危險的安全做法。隨著AI程序處理越來越多的重要和敏感數據,該行業需要強化安全措施,以匹配公共雲提供商和主要基礎設施提供商的標準。
強烈的警示和反思是必需的,尤其是在AI技術迅速發展的當今社會。DeepSeek事件不僅是對其自身安全措施的警告,也是對整個行業的反思。隨著AI技術的日益普及,企業在追求創新和效率的同時,必須更加重視數據安全和用戶隱私。這一事件提醒我們,無論技術多麼先進,安全措施的不足始終是隱患,企業應該對此保持警惕,並持續更新和完善其安全策略。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
