Mais de 1 Milhão de Linhas de Log, Chaves Secretas Vazadas do Banco de dados DeepSeek AI

Sticky 30/01/2025
DeepSeek AI Database Exposed
Visualizações: 9

Buzzy Chinês de inteligência artificial (AI) startup DeepSeek, que teve um aumento meteórico na popularidade nos últimos dias, deixou um de seus bancos de dados expostos na internet, o que poderia ter permitido que atores mal-intencionados obtivessem acesso a dados confidenciais.

O banco de dados ClickHouse “permite controle total sobre as operações do banco de dados, incluindo a capacidade de acessar dados internos”, disse Gal Nagli, pesquisador de segurança da Wiz disse.

A exposição também inclui mais de um milhão de linhas de fluxos de log contendo histórico de bate-papo, chaves secretas, detalhes de back-end e outras informações altamente confidenciais, como Segredos de API e metadados operacionais. Desde então, o DeepSeek conectou a falha de segurança após tentativas da empresa de segurança em nuvem de contatá-los.

O banco de dados, hospedado em oauth2callback.deepseek[.]com:9000 e dev.deepseek[.]com:9000, é dito ter permitido o acesso não autorizado a uma ampla gama de informações. A exposição, observou Wiz, permitiu o controle completo do banco de dados e o potencial escalonamento de privilégios no ambiente DeepSeek sem exigir qualquer autenticação.

Isso envolvia aproveitar a interface HTTP do ClickHouse para executar consultas SQL arbitrárias diretamente pelo navegador da Web. Atualmente, não está claro se outros atores maliciosos aproveitaram a oportunidade para acessar ou baixar os dados.

“A rápida adoção de serviços de IA sem segurança correspondente é inerentemente arriscada”, disse Nagli em um comunicado compartilhado com o The Hacker News. “Embora grande parte da atenção em torno da segurança da IA esteja focada em ameaças futuristas, os perigos reais geralmente vêm de riscos básicos, como a exposição externa acidental de bancos de dados.”

“A proteção dos dados do cliente deve continuar sendo a principal prioridade para as equipes de segurança, e é crucial que as equipes de segurança trabalhem em estreita colaboração com os engenheiros de IA para proteger os dados e evitar a exposição.”

Captura de tela 2025 01 30 084459
Captura de tela 2025 01 30 084517

A DeepSeek tornou-se o tema do dia nos círculos de IA por seus modelos inovadores de código aberto que afirmam rivalizar com os principais sistemas de IA como o OpenAI, além de ser eficiente e econômico. Seu modelo de raciocínio R1 foi saudado como “Momento Sputnik da IA.”

O chatbot de IA do iniciante correu para o topo dos gráficos da loja de aplicativos no Android e iOS em vários mercados, mesmo quando surgiu como alvo de “ataques maliciosos em larga escala”, levando-o a pausar temporariamente os registros.

Em um atualização publicado em 29 de janeiro de 2025, a empresa disse que identificou o problema e que está trabalhando para implementar uma correção.

Ao mesmo tempo, a empresa também tem recebido escrutínio sobre suas políticas de privacidade, sem mencionar que seus laços chineses se tornaram uma questão de preocupação com a segurança nacional para os Estados Unidos.

Além disso, os aplicativos do DeepSeek se tornaram indisponível na Itália, pouco depois de o regulador de proteção de dados do país solicitar informações sobre suas práticas de tratamento de dados e onde obteve seus dados de treinamento. Não se sabe se a retirada dos aplicativos foi em resposta a perguntas do cão de guarda.

Bloomberg O Financial Times, e O Wall Street Journal a OpenAI e a Microsoft também estão investigando se a DeepSeek usou a interface de programação de aplicativos (API) da OpenAI sem permissão para treinar seus próprios modelos na saída dos sistemas da OpenAI, uma abordagem conhecida como destilação.

“Sabemos que grupos na [China] estão trabalhando ativamente para usar métodos, incluindo o que é conhecido como destilação, para tentar replicar modelos avançados de IA dos EUA”, disse um porta-voz da OpenAI contado O Guardião.

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

Ollama

Veja como é fácil instalar e usar DeepSeek grátis no seu computador.

Sticky 30/01/2025

O que é o DeepSeek-R1? O DeepSeek-R1 é um modelo de linguagem de grande escala desenvolvido pela startup chinesa DeepSeek. Este modelo de primeira geração destaca-se por suas capacidades de raciocínio avançadas, alcançando desempenho comparável ao OpenAI-o1 em tarefas de matemática, codificação e raciocínio lógico. Uma característica notável do DeepSeek-R1 é sua eficiência, alcançando alta […]

DeepSeek

A OpenAI diz que tem evidências de que a DeepSeek usou o ChatGPT para treinar sua IA

Sticky 29/01/2025

Startup chinesa DeepSeek surpreendeu o mundo com seu sofisticado modelo de raciocínio DeepSeek R1, que é tão bom quanto o ChatGPT o1. Isso não é uma conquista surpreendente; é apenas uma questão de tempo antes que outros modelos de IA possam replicar o que a OpenAI fez em termos de raciocínio de IA. Além disso, a OpenAI […]

huawei

Huawei adiciona suporte de inferência otimizado para DeepSeek para suas GPUs Ascend AI

Sticky 29/01/2025

Em 27 de janeiro, no mesmo dia, o preço das ações da Nvidia’ despencou depois que o mercado apreciou totalmente o que o LLM chinês significava para a indústria, a Huawei, com sede na China, postou um artigo anunciando que o modelo destilado R1 AI estava disponível gratuitamente através de sua plataforma ModelArts Studio. A empresa de tecnologia disse […]