DeepSeek 安全漏洞：Wiz Research 揭露「DeepLeak」漏洞

深度搜尋作為AI開發領域的後起之秀，其DeepSeek-R1推理模型受到關注，該模型可與領先的AI系統競爭。 

然而，Wiz Research 最近的發現發現了一個嚴重的安全漏洞，現在被稱為「DeepLeak」。這次曝光涉及一個開放且未經身份驗證的 ClickHouse 資料庫，允許不受限制地存取高度敏感的資訊。這一事件引發了人們對資料隱私、基礎設施安全以及與快速發展相關的潛在風險的嚴重擔憂 人工智慧技術。

DeepSeek 安全漏洞的詳細信息 

Wiz Research 對 DeepSeek 的外部安全狀況進行了評估，發現了一個重大漏洞。他們的發現包括：

• 託管在 DeepSeek 子網域上的可公開存取的 ClickHouse 資料庫被發現完全開放，無需身份驗證。

• 該資料庫包含超過一百萬個日誌條目，暴露了聊天歷史記錄、API 密鑰和後端操作詳細資訊等敏感資料。

• 該漏洞允許未經授權的使用者執行資料庫查詢，從而帶來資料外洩和權限升級的風險。

• 使用基本偵察技術在幾分鐘內就偵測到了該安全漏洞，揭示了 DeepSeek 安全協定中的重大缺陷。

發現漏洞後，Wiz Research 立即向 DeepSeek 披露了這個問題，DeepSeek 迅速保護了暴露的資料庫。 

雖然沒有證據表明在發現之前存在惡意利用，但該事件凸顯了人工智慧基礎設施中安全實踐薄弱的更廣泛風險。

另請閱讀： 如何購買 DeepSeek AI

對人工智慧安全的更廣泛影響 

DeepSeek 漏洞清楚地提醒我們，雖然人工智慧的進步推動了創新，但它們也帶來了嚴重的安全漏洞。事件的主要結論包括：

• 人工智慧基礎設施風險： 許多人工智慧新創公司專注於模型性能，但忽略了強大的安全措施，導致敏感資料暴露。

• 監理審查： 隨著人工智慧模型處理大量用戶數據，世界各地的監管機構都更加關注安全漏洞。包括白宮和義大利資料保護局在內的西方國家已經開始對 DeepSeek 的做法進行調查。

• 需要更強的安全標準： 人工智慧公司必須採取與傳統雲端基礎設施相當的安全措施，以防止類似的風險。

結論 

DeepSeek 安全漏洞為人工智慧公司敲響了警鐘，要求他們將安全與創新放在一起。隨著人工智慧系統不斷融入關鍵產業，確保敏感資料的保護仍然是重中之重。 

採用人工智慧技術的組織應執行嚴格的安全策略，以防止可能導致重大資料外洩的意外外洩。

常問問題

1. DeepSeek系統的主要漏洞是什麼？

DeepSeek 有一個可公開存取的 ClickHouse 資料庫，無需身份驗證，暴露了超過一百萬個敏感日誌條目，包括聊天歷史記錄和 API 金鑰。

2. Wiz Research 是否利用或濫用了這些數據？

不會，Wiz Research 遵循道德安全實踐，並負責任地向 DeepSeek 披露了漏洞，DeepSeek 迅速確保了漏洞的曝光。

3. 此漏洞對整個人工智慧安全有何影響？

它凸顯了人工智慧基礎設施中對更強大安全協議的迫切需求，因為公司通常優先考慮模型開發而不是強大的安全措施。

4.人工智慧公司應該採取哪些措施來防止類似事件發生？

人工智慧公司必須實施嚴格的身份驗證控制，定期審核其基礎設施，並採用類似於雲端運算中使用的安全框架來保護敏感資料。