Deepseek, la startup de inteligencia artificial china (IA) de tendencia, recientemente expuso una de sus bases de datos en Internet, lo que potencialmente permite el acceso no autorizado a datos confidenciales. La base de datos expuesta de Clickhouse proporcionó un control total sobre sus operaciones, según Wiz Security Researcher Gal Nagli.
Deepseek expone más de un millón de líneas
La exposición incluyó más de un millón de líneas de transmisiones de registros con historial de chat, claves secretas, detalles de backend y otra información crítica, como secretos API y metadatos operativos. Después de los intentos de notificación de la firma de seguridad en la nube, Deepseek ha solucionado la vulnerabilidad de seguridad.
La base de datos, a la que se podía acceder en OAuth2Callback.epseek[.]com: 9000 y Dev.epseek[.]com: 9000, habilitó a los usuarios no autorizados para ejecutar consultas SQL arbitrarias a través del navegador web sin requerir la autenticación. No está claro si algún actor malicioso accedió o descargó los datos antes de que se resolviera el problema.
Nagli enfatizó los riesgos de la adopción rápida del servicio de IA sin medidas de seguridad adecuadas, destacando que los riesgos reales a menudo provienen de supervisión básica como la exposición accidental a la base de datos. Dijo: «Proteger los datos de los clientes debe seguir siendo la principal prioridad para los equipos de seguridad, y es crucial que los equipos de seguridad trabajen en estrecha colaboración con los ingenieros de IA para salvaguardar los datos y evitar la exposición».
Deepseek tiene recaudado Atención significativa por sus innovadores modelos de IA de código abierto que tienen como objetivo competir con sistemas establecidos como OpenAI, posicionando su modelo de razonamiento R1 como un «momento sputnik de la IA». Su chatbot de IA subió rápidamente a la cima de la clasificación de la tienda de aplicaciones en múltiples mercados, incluso cuando la compañía enfrentó «ataques maliciosos a gran escala», lo que condujo a una pausa temporal en nuevos registros.
En una actualización del 29 de enero de 2025, Deepseek admitido El problema de la base de datos e indicó que está implementando una solución. Al mismo tiempo, la compañía enfrenta un escrutinio con respecto a sus políticas de privacidad, con sus afiliaciones chinas que plantean preocupaciones de seguridad nacional en los Estados Unidos.
En desarrollos relacionados, las aplicaciones de Deepseek no estaban disponibles en Italia después de que el regulador de protección de datos del país, el Garante, buscó información sobre las prácticas de manejo de datos de la startup y sus fuentes de datos de capacitación. El retiro de las aplicaciones del mercado italiano puede o no haber sido una respuesta directa a estas consultas, ya que la Comisión de Protección de Datos de Irlanda (DPC) también ha realizado solicitudes de información similares.
Operai y Microsoft son investigador Si Deepseek utilizó la interfaz de programación de aplicaciones (API) de OpenAI sin autorización para capacitar a sus modelos a través de un proceso conocido como destilación. Un portavoz de Operai declaró: “Sabemos que grupos en [China] están trabajando activamente para usar métodos, incluido lo que se conoce como destilación, para tratar de replicar modelos AI avanzados de EE. UU. ”.
