Компания Wiz Research, специализирующаяся на облачной безопасности, обнаружила серьезную брешь в системе безопасности DeepSeek. База данных компании, содержащая конфиденциальные ключи, переписку пользователей и другую важную информацию, оказалась в публичном доступе без какой-либо защиты.
По данным исследователей Wiz, в процессе анализа публичных доменов DeepSeek они наткнулись на базу данных ClickHouse, доступную без аутентификации. Специалисты получили возможность не только просматривать, но и полностью контролировать содержимое базы, включая выполнение программного кода.
Исследователи смогли запускать SQL-команды для работы с базой данных. При выполнении простого запроса на получение списка таблиц они обнаружили несколько суб-баз, одна из которых содержала более миллиона записей логов пользовательских взаимодействий.
В этих логах хранилась история чатов, идентификационные ключи пользователей и другие данные, которые могли быть использованы злоумышленниками для кражи паролей и локальных файлов. После уведомления о проблеме китайская компания DeepSeek закрыла публичный доступ к базе данных.
Этот инцидент вызвал новую волну опасений относительно безопасности данных в системах искусственного интеллекта. Ранее ВМС США уже запретили своим сотрудникам использовать платформу DeepSeek как в рабочих, так и в личных целях из-за проблем с конфиденциальностью и происхождением приложения.
Анализ политики конфиденциальности DeepSeek на английском языке показал, что компания хранит собранную информацию на серверах в Китае. Согласно документу, фирма может собирать текстовые и аудио-данные, загруженные файлы, историю чатов и другой контент, предоставленный пользователями.
В свете китайского законодательства, требующего от компаний делиться данными с правительством, этот инцидент вызывает особое беспокойство. Подобные опасения уже привели к появлению закона PAFACA, требующего от TikTok US отделиться от китайской ByteDance для продолжения работы в США.
