در تاریخ 29 ژانویه ، Wiz Research مستقر در ایالات متحده اعلام کرد که با مسئولیت پذیری یک پایگاه داده Deepseek که قبلاً در معرض دید عموم قرار گرفته بود ، افشای سیاهههای گپ و سایر اطلاعات حساس را افشا کرد. Deepseek پایگاه داده را قفل کرد ، اما این کشف خطرات احتمالی را با مدل های تولید AI ، به ویژه پروژه های بین المللی برجسته می کند.
Deepseek طی هفته گذشته صنعت فناوری را به عنوان مدل های هوش مصنوعی شرکت چینی با رهبران تولید کننده هوش مصنوعی آمریکایی رقیب بودندبشر به طور خاص ، R1 Deepseek با Openai O1 در برخی از معیارها رقابت می کند.
چگونه تحقیقات ویز پایگاه داده عمومی Deepseek را کشف کرد؟
در یک پست وبلاگ افشای کار تحقیقات Wiz ، محقق امنیت ابر گال ناگلی توضیح داد که چگونه تیم پیدا کرد پایگاه داده کلیک در دسترس عموم متعلق به Deepseekبشر این بانک اطلاعاتی مسیرهای بالقوه را برای کنترل حملات پراکندگی دیتابیس باز کرد. در داخل پایگاه داده ، Wiz Research می تواند تاریخچه گپ ، داده های باطن ، جریان ورود به سیستم ، اسرار API و جزئیات عملیاتی را بخواند.
این تیم پایگاه داده Clickhouse را “در عرض چند دقیقه” پیدا کردند زیرا آنها آسیب پذیری های احتمالی Deepseek را ارزیابی کردند.
ناگل در نامه ای به TechRepublic گفت: “ما شوکه شدیم ، و همچنین با توجه به بزرگی این کشف ، احساس فوریت زیادی برای عمل سریع داشتیم.”
آنها ابتدا زیرمجموعه های موجود در اینترنت Deepseek را ارزیابی کردند ، و دو درگاه باز آنها را غیرمعمول زدند. این بنادر منجر به بانک اطلاعاتی Deepseek در Clickhouse ، سیستم مدیریت پایگاه داده منبع باز می شوند. Wiz Research با مرور جداول در Clickhouse ، تاریخ گپ ، کلیدهای API ، ابرداده عملیاتی و موارد دیگر را پیدا کرد.
تیم تحقیقاتی Wiz خاطرنشان كردند كه آنها در طی فرایند اکتشاف ، در هر روش تحقیق اخلاقی ، “نمایش داده های مزاحم” را اجرا نکردند.
پایگاه داده عمومی در دسترس برای هوش مصنوعی Deepseek چیست؟
تحقیقات ویز از Deepseek از این نقض خبر داد و شرکت هوش مصنوعی پایگاه داده را قفل کرد. بنابراین ، محصولات AI Deepseek نباید تحت تأثیر قرار گیرد.
با این حال ، این احتمال که پایگاه داده بتواند برای مهاجمان باز باشد ، پیچیدگی امنیت را برجسته می کند هوش مصنوعی محصولات
ناگل در یک پست وبلاگ نوشت: “در حالی که بیشتر توجه به امنیت هوش مصنوعی بر تهدیدهای آینده نگر متمرکز است ، خطرات واقعی اغلب از خطرات اساسی – مانند قرار گرفتن در معرض بیرونی بیرونی بانک اطلاعاتی” ناشی می شود. “
متخصصان فناوری اطلاعات باید از خطرات اتخاذ محصولات جدید و آزمایش نشده ، به ویژه هوش مصنوعی مولد آگاه باشند – به محققان فرصت می دهند تا اشکالات و نقص هایی را در سیستم پیدا کنند. در صورت امکان ، جدول زمانی محتاطانه را در شرکت درج کنید سیاست های استفاده از AIبشر
ببینید: محافظت و تأمین اطلاعات در روزهای هوش مصنوعی تولید پیچیده تر شده است.
ناگلی گفت: “از آنجا که سازمان ها عجله می کنند ابزارها و خدمات هوش مصنوعی را از تعداد فزاینده ای از استارتاپ ها و ارائه دهندگان اتخاذ کنند ، یادآوری این نکته ضروری است که با انجام این کار ، ما به این شرکت ها داده های حساس را واگذار می کنیم.”
بسته به موقعیت مکانی شما ، اعضای تیم فناوری اطلاعات ممکن است نیاز به آگاهی از مقررات یا نگرانی های امنیتی داشته باشند که ممکن است در مورد مدلهای هوش مصنوعی تولیدی منشأ چین اعمال شود.
Unmesh Kulkarni ، رئیس Gen AI در شرکت Data Science Tredence ، در یک ایمیل به TechRepublic گفت: “به عنوان مثال ، حقایق خاصی در تاریخ یا گذشته چین توسط مدل ها به طور شفاف یا کامل ارائه نشده است.” وی گفت: “پیامدهای حریم خصوصی داده ها از فراخوانی مدل میزبان نیز نامشخص است و بیشتر شرکت های جهانی مایل به انجام این کار نیستند. با این حال ، باید به خاطر داشته باشید که مدل های Deepseek منبع باز هستند و می توانند به صورت محلی در محیط ابر خصوصی یا محیط شبکه مستقر شوند. این امر به مسائل مربوط به حفظ حریم خصوصی داده ها یا نگرانی های نشت می پردازد. “
Nagli همچنین هنگامی که TechRepublic از طریق ایمیل به وی رسید ، مدل های خود میزبان را توصیه کرد.
وی نوشت: “اجرای کنترل دقیق دسترسی ، رمزگذاری داده ها و تقسیم شبکه می تواند خطرات را بیشتر کاهش دهد.” “سازمان ها باید اطمینان حاصل کنند که از دید و حاکمیت کل پشته هوش مصنوعی برخوردار هستند تا بتوانند کلیه خطرات ، از جمله استفاده از مدل های مخرب ، قرار گرفتن در معرض داده های آموزش ، داده های حساس در آموزش ، آسیب پذیری در SDK های هوش مصنوعی ، قرار گرفتن در معرض خدمات AI و سایر سمی ها را تجزیه و تحلیل کنند. ترکیبات خطرناک که ممکن است توسط مهاجمان مورد سوء استفاده قرار گیرد. “
منبع: https://www.techrepublic.com/article/deepseek-wiz-research-database-leak/