【2025年01月30日訊】(記者夏雨綜合報導)週三(1月29日)總部位於紐約的網絡安全公司Wiz表示,它發現中國人工智能初創公司DeepSeek的大量敏感數據無意中暴露在開放的互聯網上。
在週三發表的一篇博客文章中,Wiz表示,隨著DeepSeek在AI領域掀起波瀾,Wiz研究團隊著手評估其外部安全態勢並識別任何潛在漏洞。幾分鐘內,Wiz發現一個可公開訪問的ClickHouse數據庫鏈接到DeepSeek,完全開放且未經身分驗證,暴露了敏感數據。
Wiz文章說,該數據庫包含大量聊天紀錄、後端數據和敏感信息,包括日誌流、API機密和操作詳細信息。
更糟糕的是,Wiz說,這種暴露允許完全控制數據庫,並在DeepSeek環境中進行潛在權限提升,而無需任何身分驗證或外部訪問障礙。
這意味著,人們可以從公共互聯網上訪問與在線DeepSeek聊天機器人的對話,以及更多數據,而無需密碼。
Wiz表示,對DeepSeek基礎設施的掃描顯示,該公司無意中留下了超過一百萬行未受保護的數據。這些數據包括數字軟件密鑰和聊天紀錄,似乎記錄了用戶向該公司免費AI助手發送的提示。
Wiz首席技術官阿米‧勒特韋克(Ami Luttwak)表示,DeepSeek在Wiz警告他們後迅速修復了這個問題。
「他們在不到一小時內就把它刪除了。」勒特韋克說,「但這個數據很容易找到,我們相信我們並不是唯一發現它的人。」
DeepSeek上週推出一款免費人工智能助手。本週一,因其低成本,DeepSeek應用在蘋果商店下載量已超過美國競爭對手ChatGPT,引發科技股拋售。
週二,意大利監管機構Garante表示,希望了解DeepSeek收集了哪些個人數據、從哪裡來源收集、出於何種目的收集、基於何種法律依據,以及數據是否存儲在中國等信息。它給了DeepSeek及其附屬公司20天時間做出回應。
週二,澳洲工業與科技部長埃德‧休西克(Ed Husic)對DeepSeek的數據隱私管理表達了擔憂,並敦促澳洲用戶在下載時三思。
他對澳廣表示,「有許多關於品質、消費者偏好、資料與隱私管理的問題需要及時解答。我會對此非常謹慎。這類問題需要仔細權衡。」他表示,在用戶隱私和數據管理方面,中國公司有時與西方競爭對手有所不同。
週三,愛爾蘭監管機構也在一份聲明中表示:「數據保護委員會(DPC)已致函DeepSeek,要求其提供有關在愛爾蘭對數據主體進行的數據處理信息。」
