DeepSeekデータ漏洩：サイバー企業がデータがウェブに露出していると報告

最近のサイバーセキュリティの発表で、ニューヨークに本拠を置くサイバーセキュリティ企業Wizは、著名な中国の人工知能（AI）企業DeepSeekの誤って露出したデータベースを発見し、ユーザーのチャットメッセージや個人情報を含む機密データがオープンインターネットに漏洩していると報告しました。

2023年に杭州で設立されたDeepSeekは、特にDeepSeek-R1推論モデルによる革新的なチャットボットモデルでAI業界で急速に成長しています。

このAIモデルは、そのパフォーマンスが評価され、OpenAIのo1のような米国の競合と競争しながら、より少ないリソースを利用しています。

水曜日に公開されたブログ投稿で、WizはDeepSeekに関連する公開アクセス可能なClickHouseデータベースを特定したと述べました。

露出したデータベースは、内部データにアクセスする能力を含むデータベース操作の完全な制御を可能にしました。チャット履歴、秘密鍵、バックエンドの詳細、その他の非常に機密性の高い情報を含む100万行以上のログストリームが含まれていました。

「数分以内に、DeepSeekにリンクされた公開アクセス可能なClickHouseデータベースを見つけました。完全にオープンで認証されておらず、機密データが露出していました。それはoauth2callback.deepseek.com:9000およびdev.deepseek.com:9000でホストされていました」とサイバーセキュリティはブログ投稿で書いています。

「このデータベースには、チャット履歴、バックエンドデータ、機密情報を含む重要な量のデータが含まれていました。ログストリーム、APIシークレット、運用の詳細も含まれています。

「さらに重要なのは、露出により完全なデータベース制御とDeepSeek環境内での特権昇格の可能性が許可され、外部に対する認証や防御メカニズムがありませんでした。」

露出したデータベースを発見した際、Wizの共同創設者アミ・ルットワクは、彼らの研究チームが直ちに責任を持ってDeepSeekに問題を開示し、その後すぐにデータベースを保護したと述べました。

「彼らは1時間以内にそれを取り下げました」とルットワクは言いました。「しかし、これは見つけるのが非常に簡単だったので、私たちだけが見つけたわけではないと信じています。」

DeepSeekは問題を迅速に修正しましたが、この発見はデータプライバシーと政府機関による悪用の可能性に関する重大な懸念を引き起こしています。

DeepSeekは現在、進行中のサイバー攻撃のためにユーザー登録を制限しています。2日前、別のサイバーセキュリティ企業がDeepSeekを脱獄することができました。

これらの事件は、特にAI技術の急速な進展に伴うデータセキュリティとプライバシーの確保における課題の増大を強調しています。

DeepSeekはこの問題についてまだコメントしていません。