Una empresa de seguridad en la nube encontró una base de datos públicamente accesible y totalmente controlable que pertenece a Deepseek, la firma china que recientemente sacudió el mundo de la IA, «en cuestión de minutos» de examinar la seguridad de Deepseek, Según una publicación de blog de Wiz.
Una base de datos analítica de clickhouse vinculada a Deepseek, «completamente abierta y no autenticada», contenía más de 1 millón de instancias de «historial de chat, datos de backend e información confidencial, incluidos transmisiones de registros, secretos de API y detalles operativos», según Wiz. Una interfaz web abierta también permitió el control completo de la base de datos y la escalada de privilegios, con puntos finales y claves de API internos disponibles a través de la interfaz y los parámetros de URL comunes.
«Si bien gran parte de la atención sobre la seguridad de la IA se centra en las amenazas futuristas, los peligros reales a menudo provienen de riesgos básicos, como la exposición externa accidental de las bases de datos», escribe Gal Nagli en el blog de Wiz. «A medida que las organizaciones se apresuran a adoptar herramientas y servicios de IA de un número creciente de startups y proveedores, es esencial recordar que al hacerlo, confiamos a estas compañías datos confidenciales. El rápido ritmo de adopción a menudo conduce a pasar por alto la seguridad, pero Proteger los datos del cliente debe seguir siendo la principal prioridad «.
ARS se ha puesto en contacto con Deepseek para hacer comentarios y actualizará esta publicación con cualquier respuesta. Wiz señaló que no recibió una respuesta de Deepseek con respecto a sus hallazgos, pero después de contactar a cada correo electrónico de Deepseek y LinkedIn Perfil Wiz pudo encontrar el miércoles, la compañía protegió las bases de datos que Wiz había accedido previamente dentro de media hora.
