Istraživači iz tvrtke za kibernetičku sigurnost Wiz istraživali su pozadinske sustave revolucionarnog open-source modela DeepSeek kada su u samo nekoliko minuta otkrili da mogu bez poteškoća pristupiti gomili potpuno nešifriranih internih podataka. "Ova baza podataka sadržavala je značajnu količinu povijesti razgovora, pozadinskih podataka i osjetljivih informacija, uključujući tokove zapisnika, API tajne i operativne detalje", rekli su iz Wiza u svom izvještaju o ranjivosti.
"Još gore, ovaj očiti sigurnosni propust u sustavu open-source AI tvrtke mogao je omogućiti napad na DeepSeekove sustave bez ikakvog mehanizma za autentifikaciju ili obranu od vanjskog svijeta", napisali su istraživači.
Kao što je Wiz napomenuo u svom izvještaju o ovom ozbiljnom propustu, DeepSeek je poduzeo korake kako bi osigurao svoje baze podataka čim su sigurnosni istraživači upozorili tvrtku na curenje podataka.
"Jako teško je stupiti u kontakt s njima"
No, u razgovoru za Wired stručnjaci za sigurnost iz Wiza naveli su da je bilo iznimno teško stupiti u kontakt s ljudima iz DeepSeeka, zbog čega su se zaposlenici morali osloniti na LinkedIn poruke i e-mailove, koje su slali na sve povezane račune DeepSeeka koje su mogli pronaći ili su pretpostavili da su njihovi.
Nitko iz DeepSeeka nije odgovorio na pokušaje Wiza da ih kontaktira, ali unutar sat vremena baza podataka je bila zaključana, izvještava Wired.
Minute skeniranja umjesto sati skeniranja
Sigurnosni problem nije bio skriven ni teško otkriven. "Obično, kada pronađemo ovakvo curenje podataka, to se događa kod zanemarenih usluga koje tražimo satima - satima skeniranja", rekao je Nir Ohfeld, voditelj istraživanja ranjivosti u Wizu, za Wired. U slučaju DeepSeeka, dodao je, sigurnosni propusti bili su na "ulaznim vratima".
Pristupom DeepSeekovim bazama podataka istraživači iz Wiza otkrili su mnoge detalje o načinu na koji tvrtka razvija svoje modele, uključujući i to da njihova infrastruktura gotovo potpuno imitira OpenAI.
Sreća u nesreći
Ovakav uvid u podatke tvrtke, koja je u kratkom roku postala iznimno popularna, relativno je siguran u rukama etičkih hakera. No, istraživači su za Wired izjavili da bi, da je netko drugi prije njih pristupio DeepSeekovim bazama, mogao s lakoćom ukrasti onoliko internih podataka koliko bi želio uz minimalan trud.
"Činjenica da se greške događaju je točna, ali ovo je dramatična greška jer je potrebna vrlo mala razina napora da se dođe do iznimno visokog pristupa", rekao je za Wired Ami Luttwak, glavni tehnološki direktor Wiza. "Rekao bih da to znači da usluga nije dovoljno razvijena da bi se koristila za bilo kakve osjetljive podatke."