Специалисты компании Wiz по кибербезопасности выявили серьезную уязвимость в инфраструктуре искусственного интеллекта DeepSeek, которая позволила получить несанкционированный доступ к конфиденциальным данным пользователей и внутренней информации системы. Обнаруженная проблема наглядно демонстрирует, что наибольшие риски для AI-сервисов нередко связаны не с алгоритмами, а с базовыми ошибками в конфигурации инфраструктуры.
Детали уязвимости и потенциальные риски
В ходе исследования эксперты обнаружили незащищенную базу данных ClickHouse, доступную через домены oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000. База данных не требовала аутентификации и содержала более миллиона записей, включая истории чатов пользователей, ключи API, операционные метаданные и конфиденциальную информацию бэкенда.
Технические аспекты уязвимости
Исследователи продемонстрировали, что через HTTP-интерфейс ClickHouse можно было получить полный контроль над базой данных. Используя эндпоинт /play, злоумышленники могли выполнять произвольные SQL-запросы непосредственно из браузера без какой-либо аутентификации. Особую озабоченность вызвала таблица log_stream, содержащая критически важные данные: временные метки, API-эндпоинты и пользовательские коммуникации в открытом виде.
Последствия и потенциальные угрозы
В зависимости от конфигурации системы злоумышленники могли извлекать незашифрованные пароли, локальные файлы и служебную информацию путем выполнения произвольных SQL-команд. Такой уровень доступа мог привести к масштабной компрометации данных пользователей и внутренних систем DeepSeek.
Под угрозой: пользователи DeepSeek и команды с открытым ClickHouse
Уязвимость напрямую затронула пользователей сервиса DeepSeek, чьи данные хранились в незащищенной базе. Однако проблема имеет более широкий масштаб: любая организация, разворачивающая ClickHouse или аналогичные OLAP-базы данных без настройки аутентификации, подвергает себя аналогичному риску. Особенно уязвимы:
- AI-стартапы и компании, быстро масштабирующие облачную инфраструктуру без комплексного security review
- Разработчики, использующие ClickHouse в dev/staging-окружениях с открытым внешним доступом
- Организации, хранящие пользовательские данные и API-ключи в одной базе без разграничения доступа
Рекомендации по защите AI-инфраструктуры
- Никогда не открывать интерфейсы управления базами данных (в т. ч. ClickHouse HTTP API) во внешний интернет без аутентификации и шифрования
- Проводить регулярный аудит открытых портов и доступных эндпоинтов с помощью инструментов типа Shodan или собственных сканеров периметра
- Разделять хранилища пользовательских данных и API-ключей — каждое с отдельными политиками доступа и шифрованием
- Внедрить политику наименьших привилегий для всех сервисных аккаунтов, имеющих доступ к базам данных
- Настроить автоматические оповещения при обнаружении аномально высокого объема SQL-запросов или обращений к чувствительным таблицам
После получения уведомления об уязвимости команда DeepSeek оперативно устранила проблему. Эксперты Wiz подчеркивают: пока значительная часть дискуссий о безопасности AI фокусируется на футуристических угрозах, реальные инциденты по-прежнему чаще всего связаны с базовыми ошибками конфигурации.
