پژوهشگران یک حفره بزرگ در امنیت دیپ سیک پیدا کردند

پلتفرم هوش مولد دیپ سیک (DeepSeek) این هفته توجه بسیاری را به خود جلب کرد. اما همانطور که می‌دانید، محبوبیت زیاد، نظارت و بررسی‌های بیشتری نیز به همراه می‌آورد. تحلیلگران گروه پژوهشی Wiz Research یک حفره قابل‌توجه در امنیت دیپ سیک کشف کرده‌اند. تحقیقات نشان می‌دهد که DeepSeek یکی از پایگاه‌های داده حیاتی خود را در معرض دید قرار داده است.

• دیپ سیک چیست؟ همه چیز درمورد رقیب قدرتمند ChatGPT
• OpenAI دیپ سیک را به سرقت محکوم کرد
• چطور شرکت چینی دیپ‌ سیک از OpenAI پیشی گرفت؟

این بدان معناست که هر کسی که به این پایگاه داده دسترسی پیدا می‌کرد، می‌توانست به بیش از یک میلیون رکورد شامل اطلاعات کاربران، گزارش‌های سیستم، کلیدهای API و حتی ورودی‌های کاربران دسترسی پیدا کند. پژوهشگران همچنین اشاره کردند که تقریباً بلافاصله و بدون نیاز به اسکن یا جستجوی عمیق توانستند این پایگاه داده را پیدا کنند.

نیر اوهفلد، رئیس بخش پژوهش آسیب‌پذیری در Wiz، به مجله Wired گفت: معمولاً وقتی با چنین موردی مواجه می‌شویم، این اتفاق در سرویس‌های دست چندمی رخ می‌دهد که ساعت‌ها زمان برای یافتن آن صرف می‌کنیم. اما این بار، پایگاه داده درست جلوی چشم بود.

حفره بزرگ در سیستم امنیتی دیپ سیک

پژوهشگران Wiz اعلام کردند که ممکن است یک عامل مخرب بتواند از این حفره امنیتی برای دسترسی به سایر سیستم‌های دیپ سیک استفاده کند. با این حال، این گروه تنها ارزیابی‌های حداقلی را انجام داده‌اند تا یافته‌های خود را تأیید کنند، بدون اینکه حریم خصوصی کاربران بیشتر به خطر بیفتد. همچنین هیچ مدرکی مبنی بر اینکه فرد یا گروه دیگری این پایگاه داده را پیدا کرده باشد، وجود ندارد.

کارمندان Wiz در ابتدا نمی‌دانستند چگونه یافته‌های خود را اعلام کنند، چرا که DeepSeek هم یک شرکت تازه‌تأسیس است و هم در چین مستقر است. در نهایت، پژوهشگران یافته‌های خود را به تمام آدرس‌های ایمیل و پروفایل‌های لینکدینی که توانستند پیدا کنند ارسال کردند. پایگاه داده ظرف 30 دقیقه پس از ارسال ایمیل‌های گروهی قفل شد.

DeepSeek تنها شرکتی در حوزه هوش مصنوعی نیست که با یک نقض امنیتی جدی روبه‌رو شده است. در سال 2023، یک هکر توانست به گزارش‌های داخلی پیام‌رسان OpenAI دسترسی پیدا کند و مدتی بعد، یک باگ اطلاعات شخصی کاربران را افشا کرد.

اوهفلد گفت: هوش مصنوعی مرز جدیدی در تمام حوزه‌های فناوری و امنیت سایبری است. با این حال، همچنان با همان آسیب‌پذیری‌های قدیمی مانند پایگاه‌های داده‌ای مواجهیم که در اینترنت باز رها شده‌اند.

همان‌طور که قبلاً اشاره شد، DeepSeek در یک هفته گذشته غوغا به پا کرده است. این مدل هوش مصنوعی انقلابی ظاهراً تنها با چند میلیون دلار ساخته شده است. این در حالی است که OpenAI هر ساله میلیاردها دلار هزینه می‌کند. این اختلاف مالی عظیم باعث آشفتگی بازار سهام شد و بسیاری از سهام مرتبط با حوزه هوش مصنوعی با کاهش ارزش مواجه شدند.