عثر باحثو الأمن السيبراني من Wiz على قاعدة بيانات Clickhouse التي تملكها شركة Deepseek التي تحتوي على أكثر من مليون سطر من سجل الدردشة والمعلومات الحساسة. كانت قاعدة البيانات متاحة للجمهور وسمح للباحثين بالتحكم الكامل في عمليات قاعدة البيانات.
تم تأمين التعرض بسرعة بعد أن شاركت Wiz اكتشافها مع Deepseek ، ولكن من الممكن أن تكون المعلومات قد تعرضت بالفعل. الأبحاث من هذا النوع لا تقطع بعيدًا عن قواعد البيانات التي يجدها لأسباب أخلاقية ، لكن Wiz خلص إلى أن المهاجم يمكن أن يتصاعد امتيازاته داخل بيئة Deepseek واسترداد السجلات الحساسة ورسائل الدردشة وكلمات المرور والملفات المحلية – كل ذلك بدونه تحتاج إلى أي نوع من المصادقة.
استهدفت Wiz بدء التشغيل بسبب ضجة الوسائط الأخيرة حول نموذج التفكير في R1 ، بهدف تقييم الأمن الخارجي. بشكل مثير للصدمة إلى حد ما ، ظهرت قاعدة بيانات Clickhouse بعد بضع دقائق فقط من عمليات البحث الأساسية وتمكنت Wiz من التفاعل معها من خلال واجهة HTTP الخاصة بـ ClickHouses.
من هناك ، كان على جميع الباحثين القيام بتشغيل أ إظهار الجداول ظهر الاستعلام ، وقائمة من مجموعات البيانات التي يمكن الوصول إليها ، بما في ذلك جدول “log_steam” الذي تضمن العديد من أسطر المعلومات الحساسة.
في تقريرها ، يحذر Wiz من سرعة تبني الذكاء الاصطناعي وكيف يمكن أن يؤدي هذا الضغط من أجل تطوير منتجات الذكاء الاصطناعى ودمجها ودمجها في أسرع وقت ممكن إلى ممارسات أمنية خطيرة. مع كل البيانات المهمة والحساسة التي تتعامل معها برامج الذكاء الاصطناعى الآن ، تحتاج الصناعة إلى فرض الممارسات الأمنية القوية التي تتناسب مع مزودي الخدمات السحابية العامة ومقدمي البنية التحتية الرئيسية.