Специалисты компании Wiz по кибербезопасности выявили серьезную уязвимость в инфраструктуре DeepSeek – компании, недавно представившей свою модель искусственного интеллекта DeepSeek R1. Обнаруженная брешь в системе безопасности позволяла получить неавторизованный доступ к конфиденциальным данным пользователей и внутренней информации сервиса.
Технические детали уязвимости
В ходе исследования эксперты обнаружили незащищенную базу данных ClickHouse, доступную через endpoints oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000. Критическим фактором стало полное отсутствие механизмов аутентификации, что позволяло любому злоумышленнику не только просматривать, но и манипулировать данными через HTTP-интерфейс ClickHouse.
Масштаб потенциальной утечки данных
База данных содержала более миллиона записей различного характера, включая:
- Истории диалогов пользователей с чат-ботом
- API-ключи и секреты
- Операционные метаданные
- Системные логи
- Конфиденциальную информацию бэкенда
Потенциальные риски и последствия
Исследователи установили, что злоумышленники могли получить доступ к критически важной информации путем выполнения простых SQL-запросов. Особую опасность представляла возможность извлечения паролей в открытом виде и доступа к локальным файлам системы, что могло привести к полной компрометации инфраструктуры DeepSeek.
Данный инцидент подчеркивает критическую важность внедрения базовых мер информационной безопасности при разработке ИИ-сервисов. Специалисты Wiz отмечают, что while многие эксперты фокусируются на футуристических угрозах искусственного интеллекта, реальную опасность часто представляют элементарные ошибки в конфигурации систем безопасности. К счастью, после получения уведомления об уязвимости, команда DeepSeek оперативно устранила проблему, предотвратив потенциальную утечку данных.
Этот случай служит важным напоминанием для разработчиков ИИ-систем о необходимости уделять первостепенное внимание защите пользовательских данных и обеспечению базовой кибербезопасности. Рекомендуется проводить регулярные аудиты безопасности и внедрять многоуровневую защиту даже на ранних этапах разработки продукта.
