近年来,中国在人工智能领域取得了显著成就,DeepSeek等创新企业脱颖而出。然而,在追求技术突破的同时,安全问题不容忽视。DeepSeek数据库泄露事件再次提醒我们,在技术发展与安全保障之间必须取得平衡。
Wiz Research揭露DeepSeek数据库暴露,泄露包括聊天记录在内的敏感信息。一个公开可访问的DeepSeek数据库允许完全控制数据库操作,包括访问内部数据的能力。此次暴露包括超过一百万行的日志流,其中包含高度敏感的信息。
Wiz Research团队发现了一个公开可访问的DeepSeek ClickHouse数据库,该数据库允许完全控制数据库操作,包括访问内部数据的能力。此次暴露包括超过一百万行的日志流,其中包含聊天记录、密钥、后端细节和其他高度敏感的信息。Wiz Research团队立即向DeepSeek披露了该问题,DeepSeek迅速采取措施保护了暴露的数据。
DeepSeek是一家中国人工智能初创公司,因其突破性的人工智能模型DeepSeek-R1推理模型,最近受到了媒体的广泛关注。该模型在性能上可以与OpenAI的o1等领先的人工智能系统相媲美,并且因其成本效益和效率而脱颖而出。
Wiz Research团队评估DeepSeek的外部安全态势并识别任何潜在的漏洞。他们发现了一个与DeepSeek相关的公开可访问的ClickHouse数据库,该数据库完全开放且未经身份验证,暴露了敏感数据。该数据库包含大量的聊天记录、后端数据和敏感信息,包括日志流、API密钥和操作细节。
此次暴露允许完全控制数据库,并可能在DeepSeek环境内进行权限提升,而无需任何身份验证或针对外部世界的防御机制。
在没有相应安全措施的情况下快速采用人工智能服务本身就存在风险。此次暴露突显了一个事实,即人工智能应用程序的直接安全风险源于支持它们的基础设施和工具。
随着各组织竞相采用来自越来越多的初创公司和提供商的人工智能工具和服务,必须记住,通过这样做,我们将敏感数据委托给了这些公司。快速采用的步伐通常会导致忽视安全问题,但保护客户数据必须仍然是首要任务。安全团队必须与人工智能工程师紧密合作,以确保对所使用的架构、工具和模型具有可见性,以便我们可以保护数据并防止暴露。
世界从未见过一项技术以人工智能这样的速度被采用。许多人工智能公司已迅速发展成为关键的基础设施提供商,但没有通常伴随如此广泛采用的安全框架。随着人工智能在全球范围内深入融入企业,该行业必须认识到处理敏感数据的风险,并强制执行与公共云提供商和主要基础设施提供商所要求的安全实践相媲美的安全实践。
暂无评论