Компания Wiz Research сообщила о серьезной уязвимости в инфраструктуре китайского ИИ-стартапа DeepSeek. По словам исследователей, в открытом доступе оказалась база данных на основе ClickHouse, где хранились не только логи и история чатов, но и приватные ключи, детали серверной архитектуры, а также другая конфиденциальная информация.
Масштабы утечки
Специалисты Wiz Research изучали безопасность инфраструктуры DeepSeek на предмет потенциальных уязвимостей. В ходе анализа они обнаружили, что база данных ClickHouse, связанная с DeepSeek, находилась в открытом доступе без защиты.
Среди утекших данных:
- Более 1 миллиона логов с деталями внутренних операций DeepSeek.
- API-ключи и секретные токены, используемые для работы сервисов.
- История чатов пользователей, включая отправленные сообщения.
- Данные о бэкэнде, включая метаданные сервисов.
Исследователи установили, что база размещалась на доменах oauth2callback.deepseek.com и dev.deepseek.com. Из-за открытых портов (8123 и 9000) злоумышленники могли запрашивать и редактировать данные, используя простые SQL-запросы.
В отчете Wiz Research говорится, что исследователи незамедлительно сообщили о проблеме DeepSeek, и компания оперативно закрыла уязвимость.
Как это могло навредить пользователям:
- Доступ к перепискам пользователей мог позволить злоумышленникам анализировать личные данные.
- Утечка приватных ключей могла привести к компрометации API-сервисов и созданию поддельных токенов.
- Открытый доступ к бэкэнду позволял потенциальные атаки на инфраструктуру DeepSeek.
Исследователи отмечают, что злоумышленники могли не только просматривать, но и изменять данные в системе, что представляло угрозу как для DeepSeek, так и для пользователей, взаимодействующих с ее сервисами.
DeepSeek под пристальным вниманием
Стартап DeepSeek стали известен тем, что представил ИИ-модель с бюджетом всего $10 млн, в то время как OpenAI тратит более $100 млн только на вычислительные ресурсы. Успех компании вызвал панику среди инвесторов, на что акции ряда технологических гигантов отреагировали резким падением. Акции NVIDIA упали на 8%, Google — на 3,2%, Amazon и Microsoft — на 3,5%, а фьючерсы на Nasdaq 100 снизились на 2%.
CEO OpenAI Сэм Альтман прокомментировал запуск новой модели, назвав ее впечатляющей. Он также добавил, что OpenAI не будет стоять на месте и создаст более сильные модели.
Позже стало известно, что Microsoft и OpenAI начали расследование по поводу возможного несанкционированного использования данных OpenAI в разработках DeepSeek. По данным Bloomberg, в конце 2024 года были зафиксированы аномальные скачивания данных через API, что может указывать на нарушение условий использования.
По словам CEO Anthropic Дарио Амодея (Dario Amodei), заявления об угрозе DeepSeek лидерству США в области искусственного интеллекта могут быть сильно преувеличены.
«Расход DeepSeek не сильно отличаются от расходов американских лабораторий ИИ. У китайской компании имеется 50 тыс. чипов поколения Hoppere6 стоимостью более $1 млрд, что в 2–2 раза больше, чем у крупных американских ИИ-компаний», — заявил он.
На фоне быстрого развития DeepSeek, Трамп объявил, что планирует ограничить продажи чипов NVIDIA в Китае. Вероятно, таким образом новый президент США планирует сохранить лидерство в области ИИ.
Читайте также:
- Мошенники используют хайп вокруг DeepSeek: рынок заполонили поддельные токены
- Анонс инициативы Трампа «Stargate» вызвал рост цен на ИИ-криптовалюты
- AI-токены вытесняют мемкоины: тренды, прогнозы и риски
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.