中國人工智慧公司DeepSeek因其模型DeepSeek-R1表現亮眼而備受關注,不過,雲端資安公司Wiz Research研究團隊發現,DeepSeek服務存在重大資安漏洞,導致大量機密日誌資料外洩。研究人員在進行例行性安全評估時,發現DeepSeek的ClickHouse資料庫對外開放,未設定任何身分驗證機制,允許任何人存取內部資料,甚至具備完整的資料庫控制權限。
Wiz Research透過網域探測技術,發現DeepSeek旗下多個公開網域,其中部分開放了非標準的HTTP連接埠,進一步檢測後確認ClickHouse資料庫可透過9000及8123連接埠直接存取,且無需提供任何驗證資訊。這個資料庫包含超過百萬筆日誌紀錄,涵蓋聊天記錄、API金鑰、內部服務資訊、目錄結構與營運相關細節。更具風險的是,研究人員發現該ClickHouse資料庫允許透過HTTP介面執行任意SQL查詢,攻擊者不僅能存取內部資料,還可能透過特定查詢獲取機密資訊,進一步擴大攻擊影響範圍。
ClickHouse是一款高效能的開源欄式資料庫,主要用於即時資料分析與日誌儲存。不過,由於其開放性及高度自訂能力,一旦配置不當,極可能成為潛在資安漏洞。DeepSeek未經身分驗證的ClickHouse伺服器,不僅洩漏人工智慧模型的內部運作細節,還能讓攻擊者取得敏感業務資料,甚至是人工智慧聊天機器人的使用者對話紀錄。
Wiz Research在發現漏洞後,立即聯繫DeepSeek通報此問題,對方也迅速確認並修復相關安全設定。隨著越來越多新創公司與服務供應商推出人工智慧工具與服務,企業導入人工智慧技術的速度也在加快,研究人員提醒,這樣的過程本質上代表企業將敏感資料託付給人工智慧供應商管理,因此確保資料安全應是企業導入人工智慧服務時的首要考量。
同時,研究人員也提醒人工智慧公司,隨著人工智慧技術已成為關鍵基礎設施,除了聚焦於模型效能與創新,基礎架構的安全性同樣至關重要。人工智慧供應商應加強基礎架構安全機制,特別是在處理敏感資料時,應比照公有雲與企業級IT基礎設施環境的安全標準,強化存取控制機制與監控管理。
熱門新聞
2025-02-05
2025-01-31
2025-01-30
2025-02-03
2025-02-03
2025-02-05