InfoQ
·
DeepSeek数据库泄露敏感信息凸显AI安全风险
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
云安全公司Wiz发现DeepSeek数据库未受保护,导致数百万条聊天记录暴露。尽管漏洞已迅速修复,但事件凸显了AI行业需加强安全标准。研究人员Gal Nagli通过侦查发现公开的ClickHouse数据库未要求身份验证,暴露大量敏感数据。DeepSeek已限制公共访问,但未对此事件的根本原因作出评论。
🎯
关键要点
- 云安全公司Wiz发现DeepSeek数据库未受保护,导致数百万条聊天记录暴露。
- 尽管漏洞已迅速修复,但事件凸显了AI行业需加强安全标准。
- 研究人员Gal Nagli发现公开的ClickHouse数据库未要求身份验证,暴露大量敏感数据。
- 数据库暴露使攻击者能够完全控制数据库,并获得更高权限访问DeepSeek环境的部分内容。
- Nagli通过侦查发现约30个可访问的域名,包括admin.deepseek.com和dev.deepseek.com。
- 他能够使用ClickHouse的Web UI运行任意SQL查询,获取大量敏感数据。
- DeepSeek迅速修复了漏洞,限制公共访问并将数据库下线,但未对此事件的根本原因作出评论。
- Nagli指出,信任AI公司处理敏感数据的更大隐患,保护客户数据必须是首要任务。
- DeepSeek是一家中国初创公司,因其DeepSeek-V3和DeepSeek-R1模型而受到关注。
- ClickHouse是一个开源数据库管理系统,专为大数据集的快速分析查询而设计。
❓
延伸问答
DeepSeek数据库泄露事件的主要原因是什么?
DeepSeek数据库未要求身份验证,导致大量敏感数据暴露。
DeepSeek事件对AI行业的影响是什么?
事件凸显了AI行业需加强安全标准,保护客户数据应是首要任务。
Wiz公司是如何发现DeepSeek数据库漏洞的?
Wiz的研究人员Gal Nagli通过侦查发现公开的ClickHouse数据库未要求身份验证。
DeepSeek在发现漏洞后采取了哪些措施?
DeepSeek迅速修复了漏洞,限制公共访问并将数据库下线。
ClickHouse数据库的特点是什么?
ClickHouse是一个开源数据库管理系统,专为大数据集的快速分析查询而设计。
DeepSeek是一家怎样的公司?
DeepSeek是一家中国初创公司,因其DeepSeek-V3和DeepSeek-R1模型而受到关注。
➡️
