雲端安全公司Wiz 近日揭露,中國 AI 新創DeepSeek的開放式資料庫暴露了大量敏感資訊,包括用戶對話記錄、API 認證金鑰、系統日誌等,且無需任何驗證即可存取。Wiz 研究人員表示,他們在「數分鐘內」便發現該資料庫,顯示 DeepSeek 在資料保護方面存在重大漏洞。
儲存超過百萬筆日誌
這些敏感資訊存放於開源資料管理系統 ClickHouse 中,共超過 100 萬筆日誌。Wiz 指出,該暴露不僅允許外部人員完全控制資料庫,甚至可能讓惡意攻擊者進一步提升權限,進而存取 DeepSeek 的內部系統,對整體平台安全構成威脅。
漏洞極易發現
目前尚不確定是否有其他人曾經存取這些暴露的資料。不過,Wiz 研究人員表示,由於該漏洞極易發現,他們「不會感到驚訝」如果其他人也曾經存取這些數據。
DeepSeek 系統架構與 OpenAI 相似
Wiz 研究人員還指出,DeepSeek 的系統架構與 OpenAI 相當類似,甚至連 API 金鑰的格式也幾乎相同。值得注意的是,OpenAI 本週稍早才指控 DeepSeek 未經授權使用其數據來訓練 AI 模型,這一資安事件可能進一步加劇 DeepSeek 在數據保護與倫理方面的爭議。
NewMobileLife 網站:https://www.newmobilelife.com
Facebook:https://www.facebook.com/jetsoiphone