Cybersicherheitsexperten des Unternehmens Wiz haben eine gravierende Sicherheitslücke in der KI-Infrastruktur von DeepSeek aufgedeckt. Die Schwachstelle ermöglichte potenziellen Angreifern uneingeschränkten Zugriff auf sensitive Nutzerdaten und interne Systeminformationen. Dieser Vorfall unterstreicht die kritische Bedeutung grundlegender Sicherheitsmaßnahmen bei der Implementierung von KI-Diensten.
Technische Details der Sicherheitslücke
Im Zentrum der Schwachstelle stand eine ungeschützte ClickHouse-Datenbank, die über die Domains oauth2callback.deepseek.com:9000 und dev.deepseek.com:9000 frei zugänglich war. Die Datenbank enthielt über eine Million Datensätze, darunter Chat-Verläufe, API-Schlüssel, Betriebsdaten und vertrauliche Backend-Informationen. Besonders besorgniserregend war das Fehlen jeglicher Authentifizierungsmechanismen.
Ausmaß und Implikationen der Schwachstelle
Die Sicherheitsforscher demonstrierten, dass über den HTTP-Interface von ClickHouse vollständige Kontrolle über die Datenbank erlangt werden konnte. Der /play-Endpunkt ermöglichte die Ausführung beliebiger SQL-Abfragen direkt im Browser. Die log_stream-Tabelle erwies sich als besonders kritisch, da sie Zeitstempel, API-Endpunkte und unverschlüsselte Nutzerkommunikation enthielt.
Potenzielle Bedrohungsszenarien
Die Konfiguration der Datenbank ermöglichte potenziellen Angreifern das Auslesen unverschlüsselter Passwörter, lokaler Dateien und System-Metadaten durch einfache SQL-Befehle. Diese weitreichenden Zugriffsrechte hätten zu einer massiven Kompromittierung der DeepSeek-Infrastruktur und der Nutzerdaten führen können.
Diese Entdeckung verdeutlicht eine wichtige Diskrepanz in der KI-Sicherheitsdebatte: Während sich viele Diskussionen auf hypothetische zukünftige Bedrohungen konzentrieren, entstehen reale Risiken oft durch fundamentale Schwachstellen in der zugrundeliegenden Infrastruktur. Nach der Benachrichtigung durch das Wiz-Team reagierte DeepSeek umgehend und schloss die Sicherheitslücke. Dieser Vorfall unterstreicht die Notwendigkeit regelmäßiger Sicherheitsaudits und der Implementierung grundlegender Sicherheitsmaßnahmen in KI-Systemen.
