Recent, echipa de cercetare Wiz Research a descoperit o bază de date ClickHouse accesibilă publicului, aparținând startup-ului chinez de IA, DeepSeek. Această descoperire a scos la iveală riscurile semnificative asociate cu adoptarea rapidă a serviciilor de IA fără măsuri de securitate corespunzătoare.
Contextul Descoperirii
DeepSeek a atras atenția mass-mediei datorită modelului său revoluționar de raționament, DeepSeek-R1, care rivalizează cu sistemele de inteligență artificială de top. Cu toate acestea, echipa Wiz Research a decis să evalueze postura de securitate externă a DeepSeek și să identifice orice potențiale vulnerabilități. În doar câteva minute, au găsit o bază de date ClickHouse complet deschisă și neautentificată, expunând date extrem de sensibile.
Detaliile Expunerii
Baza de date expusă conținea peste un milion de linii de fluxuri de jurnale, inclusiv istoricul chat-urilor, chei secrete, detalii backend și alte informații sensibile. Această expunere a permis controlul deplin asupra operațiunilor bazei de date, fără nicio autentificare. Printre datele expuse se numărau:
- Istoricul chat-urilor
- Chei API
- Detalii operaționale și backend
Implicațiile pentru Securitatea Datelor
Această descoperire subliniază riscurile imediate pentru aplicațiile de IA, care provin din infrastructura și instrumentele care le susțin. În timp ce atenția asupra securității IA este adesea concentrată pe amenințările futuriste, pericolele reale provin adesea din riscurile de bază, cum ar fi expunerea accidentală a bazelor de date. Este esențial ca echipele de securitate să colaboreze strâns cu inginerii de IA pentru a asigura vizibilitatea în arhitectura, instrumentele și modelele utilizate, astfel încât să putem proteja datele și să prevenim expunerea acestora.
Concluzie
Adoptarea rapidă a tehnologiei IA fără măsuri de securitate corespunzătoare poate duce la riscuri semnificative pentru securitatea datelor. Descoperirea făcută de Wiz Research servește ca un avertisment pentru industrie, subliniind importanța protejării datelor sensibile și implementării practicilor de securitate adecvate.