A kínai DeepSeek AI vállalathoz tartozó, nem védett adatbázisból rendkívül érzékeny adatok kerültek nyilvánosságra, köztük csevegési előzmények, titkos kulcsok és háttérinformációk.
A DeepSeek R1 elnevezésű nyílt forráskódú AI modell a vállalat állítása szerint teljesítmény szempontjából egyenrangú az olyan chatbotokkal mint az OpenAI ChatGPT vagy a Google Gemini, miközben lényegesen kevesebb számítási teljesítményt igényel.
A DeepSeek növekvő népszerűsége a kiberbiztonsági szakemberek figyelmét is felkeltette, így elkezdték elemezni magát a modellt és a kínai vállalat infrastruktúráját is. A Wiz kutatói vizsgálták a vállalat külső biztonsági helyzetét, a nyilvánosan elérhető domaineket és nyitott portokat is. A kutatás során több szokatlan hosztot azonosítottak, köztük egy olyan ClickHouse adatbázist, amely nem volt megfelelő védelemmel ellátva. Az elemzés kimutatta, hogy tetszőleges SQL lekérdezéseket lehetett végrehajtani az adatbázison, amely nagyjából egymillió naplóbejegyzést, köztük rendkívül érzékeny adatokat tartalmazott. A kiszivárgott adatok között szerepeltek csevegési előzmények, API kulcsok, háttérinformációk, működéshez kapcsolódó metaadatok, valamint más olyan információk, amelyek hasznosak lehetnek egy támadó számára. A DeepSeek gyorsan javította a sebezhetőséget, miután a Wiz figyelmeztette őket.
Nemrég a Kela fenyegetéselemzéssel foglalkozó cég megmutatta, hogy a DeepSeek R1 modellje sebezhető olyan jailbreak módszerekkel szemben, amelyeket más népszerű chatbotokban már régóta javítottak.
Kérdések merültek fel a kínai szolgáltatás adatvédelmével és adatkezelésével kapcsolatban is, miután kiderült, hogy az amerikai felhasználók adatait Kínába továbbítják. Az európai országok is felfigyeltek erre a problémára. Olaszországban a felhasználók nem tudtak hozzáférni a DeepSeek alkalmazáshoz a Google és az Apple alkalmazásboltokban, miután az ország adatvédelmi hatósága tájékoztatást kért a személyes adatok felhasználásáról. Hasonló kérelmet nyújtottak be az ír hatóságok is.
