Истражувачите од израелската компанија за сајбер-безбедност „Виз“ (Wiz) откриле изложена база на податоци поврзана со „Дипсик“ (DeepSeek). Базата на податоци, која била слободно достапна преку интернет без никаква автентикација, содржела чувствителни информации, вклучувајќи упатства за обука на моделот, кориснички прашања и потенцијално чувствителни збирки податоци. „Напаѓачот не само што би можел да добие чувствителни дневници и вистински пораки во чет со обичен текст, туку би можел да ги открие и лозинките и локалните датотеки заедно со информации за сопственоста“, напишале од „Виз“.
Истражувачите од „Виз“ при рутински преглед на бази на податоци достапни на интернет откриле јавно достапен сервер што чувал голем обем на податоци поврзани со „Дипсик“. Како што напишале во својот извештај, базата на податоци не барала никаква форма на автентикација, што значи дека до неа можел да пристапи секој со соодветен URL. Според „Виз“, базата на податоци содржела 6,6 терабајти податоци, вклучувајќи спецификации на моделот, алгоритми за подобрување на учењето и разговорни податоци на корисниците.
Очигледно, точката на влез бил системот за управување со бази на податоци „Клик хаус“ (ClickHouse). Овој систем е со отворен код и е дизајниран за брзи аналитички прашања во големи бази на податоци. Системот го развил „Јандекс“ (Yandex) и широко се користи за обработка на податоци во реално време, складирање дневници и анализа на големи податоци, напишале од „Виз“.
„Ова не е првпат да сме сведоци на вакви инциденти и веројатно нема да биде последен“, изјави Амитаи Коен, истражувач во „Виз“, „недостигот од основни безбедносни мерки, како што се автентикација и шифрирање, укажува на системски проблем во управувањето со безбедноста на моделите на вештачка интелигенција“.
„Виз“ веднаш по откривањето на базата на податоци ги известил одговорните во „Дипсик“, кои потоа брзо реагирале и го оневозможиле пристапот до серверот. „Базата на податоци повеќе не е достапна, а исто така воведовме дополнителни безбедносни протоколи за да спречиме слични инциденти во иднина“, соопштиле од „Дипсик“. „Пристапот беше оневозможен за помалку од еден час“, објаснил за „Ројтерс“ Ами Лутвак, технолошки директор во „Виз“, „но пристапот беше толку лесно да се најде што веруваме дека не сме единствените што го откриле“.
Не е јасно колку долго податоците биле јавно достапни, но базата содржела податоци најмалку од 5 јануари 2025 година, и дали некој ги презел или ги користел за злонамерни цели. „Виз“ во извештајот исто така напишал дека пристапот бил многу поголем, но поради етички причини не пребарувале подолго и ги известиле одговорните во „Дипсик“.
.webp){kind=icon}
