Китайський стартап DeepSeek, що стрімко набирає популярність завдяки своїм передовим AI-моделям, раптово вирішив поділитися своєю базою даних з усім Інтернетом. Відкритий доступ до конфіденційної інформації? Чудова ідея!
Як виявилося, їхня база даних ClickHouse була відкрита в прямому сенсі цього слова, так що будь-хто міг бачити її вміст. Дослідник безпеки Gal Nagli підтвердив, що ClickHouse демонструвала допитливим кмітливцям мільйони рядків журналів, історії чатів, секретні ключі, API-токени та інші речі, які так люблять кіберзлочинці.
На щастя, після того, як компанія Wiz попередила DeepSeek, «дірку в безпеці» оперативно залатали. Але хто знає, скільки людей вже встигли зазирнути в їхню базу даних, завантажити кілька терабайтів «конфіденційної» інформації або просто залишити привітання у вигляді SQL-запиту.
DeepSeek, мабуть, вирішив, що аутентифікація – це пережиток минулого. Адже їхня база даних була доступна просто через браузер! Так, жодних паролів, жодних бар’єрів – просто відкрий посилання «oauth2callback.deepseek[.]com:9000» та насолоджуйся.
Тепер експерти з кібербезпеки вкотре нагадують, що швидке розгортання AI без базових заходів захисту – це як залишити відкритими двері сейфа в банку та сподіватися, що ніхто не поцікавиться його вмістом. Але кого хвилюють такі дрібниці, коли компанія залишила позаду саму OpenAI?
Попри цей невеличкий конфуз, DeepSeek все ж продовжує претендувати на роль нового лідера у сфері AI зі своєю моделлю R1. Дірка в безпеці не завадила стартапу утриматись на піку популярності в топах завантажень магазинів Android та iOS.
Що ж, тепер залишається тільки здогадуватися, чи ці атаки були справжніми, чи просто DeepSeek вирішив невдало привернути до себе увагу.
Хай там що, висновок очевидний: майбутнє AI вже настало! Тільки от безпека, схоже, залишилася в минулому.