Американская компания Wiz, занимающаяся исследованиями в области кибербезопасности, обнаружила уязвимость в базе данных ClickHouse, принадлежащей китайскому ИИ-стартапу DeepSeek. База содержала более миллиона строк данных, включая историю чатов, внутреннюю информацию чат-бота и другие конфиденциальные данные.
DeepSeek, привлекший внимание благодаря своим инновационным моделям ИИ, таким как DeepSeek-R1, конкурирует с ведущими системами, включая o1 от OpenAI. Эта модель отличается высокой производительностью при низких затратах, что сделало ее одной из самых обсуждаемых в сфере искусственного интеллекта.
Компания Wiz начала оценку безопасности DeepSeek после того, как чат-бот стартапа стал центром внимания в ИТ-сообществе. Исследователи Wiz отмечают, что для обнаружения проблемы им потребовалось всего несколько минут. Они нашли общедоступную базу данных ClickHouse, которая предоставляла полный доступ к конфиденциальной информации компании, включая данные о бэкэнде, ключи безопасности и историю чатов.
Компания Wiz незамедлительно сообщила о найденной уязвимости DeepSeek, и стартап оперативно устранил проблему. На сайте Wiz сообщается, что база данных была размещена по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000, и доступ к ней был открыт без какой-либо аутентификации или защиты.
ClickHouse — это система управления базами данных с открытым исходным кодом, которая используется для аналитики больших данных в реальном времени и хранения журналов. Она была разработана компанией «Яндекс» и используется для обработки больших объемов информации. Исследователи Wiz подчеркивают, что, несмотря на широкое внимание к возможным угрозам в сфере ИИ, реальная угроза часто исходит от ошибок в базовых процессах, таких как случайное раскрытие данных.
Напоминаем, что ранее приложение DeepSeek опередило ChatGPT по количеству загрузок на App Store. Этот успех повлиял на рынок: акции Nvidia снизились на рекордные $600 миллиардов, а бывший президент США Дональд Трамп заявил, что США введут пошлины на иностранные чипы.