DeepSeek, công ty khởi nghiệp Trung Quốc đứng sau AI cùng tên, đã trở thành nạn nhân của vụ rò rỉ dữ liệu. Các nhà nghiên cứu của Wiz thực tế đã phát hiện ra một cơ sở dữ liệu nội bộ của công ty hoàn toàn mở cho công chúng. Có thể truy cập mà không cần bất kỳ yêu cầu xác thực nào.
Thư mục này bao gồm "hơn một triệu dòng nhật ký", tức là các bản ghi hoạt động do hệ thống máy tính tạo ra. Nó bao gồm "khóa bí mật, thông tin chi tiết về cơ sở hạ tầng phụ trợ và các thông tin cực kỳ nhạy cảm khác" về nhóm Trung Quốc này.
Rõ ràng là thông tin này có thể được sử dụng để thực hiện các cuộc tấn công mạng vào công ty khởi nghiệp. Lưu ý rằng DeepSeek đã nằm trong tầm ngắm của tin tặc.
Trên hết, cơ sở dữ liệu bao gồm lịch sử thảo luận của người dùng DeepSeek. Do đó, các câu hỏi của người dùng Chatbot sẽ phụ thuộc vào tội phạm mạng đầu tiên xuất hiện. Trên thực tế, mọi dữ liệu cá nhân mà người dùng có khả năng truyền đạt đều có nguy cơ bị xâm phạm.
Theo báo cáo của Wiz, bất kỳ ai cũng có thể đọc, sửa đổi hoặc xóa dữ liệu, thậm chí chèn lệnh độc hại vào các tệp. Kẻ tấn công có thể khai thác lỗ hổng này để giành được quyền quản trị trong hệ thống máy tính của DeepSeek.
Wiz chỉ ra rằng các mối đe dọa nghiêm trọng nhất đối với AI "thường xuất phát từ các lỗ hổng cơ bản, chẳng hạn như việc vô tình tiết lộ cơ sở dữ liệu có thể truy cập bên ngoài". Các công ty AI cũng phải đối mặt với những rủi ro tương tự như các công ty khác.
Các nhà nghiên cứu của Wiz đã liên hệ với nhóm DeepSeek để cảnh báo họ về lỗ hổng bảo mật. Công ty khởi nghiệp có trụ sở tại Trung Quốc đã nhanh chóng điều chỉnh hướng đi của mình. Do đó, cơ sở dữ liệu này không còn được cung cấp miễn phí nữa. Không có bằng chứng nào cho thấy kẻ tấn công có thể xem dữ liệu bị lộ trước khi DeepSeek triển khai bản vá.
Đây không phải là lần đầu tiên tính bảo mật của DeepSeek bị chỉ trích. Ngay sau khi AI ra mắt, các nhà nghiên cứu nhận ra rằng chatbot này có rất nhiều lỗ hổng bảo mật. Họ thậm chí còn ước tính rằng DeepSeek chậm hơn ChatGPT hai năm về mặt bảo mật.
Nguồn: Wiz
Thư mục này bao gồm "hơn một triệu dòng nhật ký", tức là các bản ghi hoạt động do hệ thống máy tính tạo ra. Nó bao gồm "khóa bí mật, thông tin chi tiết về cơ sở hạ tầng phụ trợ và các thông tin cực kỳ nhạy cảm khác" về nhóm Trung Quốc này.
Rõ ràng là thông tin này có thể được sử dụng để thực hiện các cuộc tấn công mạng vào công ty khởi nghiệp. Lưu ý rằng DeepSeek đã nằm trong tầm ngắm của tin tặc.
Các cuộc trò chuyện bị xâm phạm
Trên hết, cơ sở dữ liệu bao gồm lịch sử thảo luận của người dùng DeepSeek. Do đó, các câu hỏi của người dùng Chatbot sẽ phụ thuộc vào tội phạm mạng đầu tiên xuất hiện. Trên thực tế, mọi dữ liệu cá nhân mà người dùng có khả năng truyền đạt đều có nguy cơ bị xâm phạm.
Theo báo cáo của Wiz, bất kỳ ai cũng có thể đọc, sửa đổi hoặc xóa dữ liệu, thậm chí chèn lệnh độc hại vào các tệp. Kẻ tấn công có thể khai thác lỗ hổng này để giành được quyền quản trị trong hệ thống máy tính của DeepSeek.
Wiz chỉ ra rằng các mối đe dọa nghiêm trọng nhất đối với AI "thường xuất phát từ các lỗ hổng cơ bản, chẳng hạn như việc vô tình tiết lộ cơ sở dữ liệu có thể truy cập bên ngoài". Các công ty AI cũng phải đối mặt với những rủi ro tương tự như các công ty khác.
DeepSeek đã khắc phục lỗ hổng
Các nhà nghiên cứu của Wiz đã liên hệ với nhóm DeepSeek để cảnh báo họ về lỗ hổng bảo mật. Công ty khởi nghiệp có trụ sở tại Trung Quốc đã nhanh chóng điều chỉnh hướng đi của mình. Do đó, cơ sở dữ liệu này không còn được cung cấp miễn phí nữa. Không có bằng chứng nào cho thấy kẻ tấn công có thể xem dữ liệu bị lộ trước khi DeepSeek triển khai bản vá.
Đây không phải là lần đầu tiên tính bảo mật của DeepSeek bị chỉ trích. Ngay sau khi AI ra mắt, các nhà nghiên cứu nhận ra rằng chatbot này có rất nhiều lỗ hổng bảo mật. Họ thậm chí còn ước tính rằng DeepSeek chậm hơn ChatGPT hai năm về mặt bảo mật.
Nguồn: Wiz
