Siku kadhaa baada ya shambulio kubwa la cyber la udhibitisho lisilojulikana lilisababisha usumbufu mkubwa kwa watumiaji wa mfano wa Ujasusi wa Ujasusi wa Ujasusi wa Kichina (GENAI), maswala ya usalama yanayoendelea yanaendelea kutumia matumizi ya haraka, na ripoti zinaibuka kwa ukosefu wa umakini unaolipwa Hatua za usalama wa cyber huko Deepseek yenyewe. Hii ni kwa mujibu wa mtafiti Gal Nagli wa Wiz, mtaalam wa usalama wa wingu, ambaye Jumatano 29 Januari alichapisha maelezo ya hifadhidata inayopatikana kwa umma iliyo na eneo la data, ambayo alisema iliwezesha udhibiti kamili juu ya shughuli za hifadhidata. Nagli alisema alihamasishwa kutathmini mkao wa usalama wa nje wa Cyber ​​wa Deepseek na kubaini udhaifu unaowezekana kwa kuzingatia kuongezeka kwa meteoric ya jukwaa kwa umaarufu wa ulimwengu. “Ndani ya dakika, tulipata hifadhidata ya kufikiwa ya umma iliyounganishwa na Deepseek, wazi kabisa na haijathibitishwa, ikionyesha data nyeti. Ilishikiliwa katika OAuth2Callback.deepseek.com:9000 na dev.deepseek.com:9000, “alisema Nagli. “Database hii ilikuwa na kiasi kikubwa cha historia ya gumzo, data ya mwisho na habari nyeti, pamoja na mito ya logi, siri za API, na maelezo ya kiutendaji. “Kwa ukosoaji zaidi, mfiduo ulioruhusiwa kwa udhibiti kamili wa hifadhidata na kuongezeka kwa upendeleo katika mazingira ya Deepseek, bila uthibitisho wowote au utaratibu wa utetezi kwa ulimwengu wa nje,” ameongeza. Nagli alipata hifadhidata iliyo wazi kupitia zoezi la kawaida la uchoraji wa ramani za vikoa vinavyopatikana kwa umma. Alipata takriban vitongoji 30 vinavyoangalia mtandao, ambavyo vingi vilikuwa vya kawaida, lakini kwa kupanua utaftaji wake zaidi ya bandari za HTTP 80 na 443, alipata bandari mbili wazi, 8123 na 9000, zinazohusiana na majeshi yaliyo hatarini. Kuelekeza interface ya HTTP ya HTTP, basi aliweza kupata njia maalum ambayo iliwezesha utekelezaji wa moja kwa moja wa maswali ya SQL ya kiholela katika kivinjari cha wavuti; Kuendesha swala la ‘Onyesha Jedwali’ kulirudisha orodha ya hifadhidata zilizo wazi. “Kiwango hiki cha ufikiaji kilileta hatari kubwa kwa usalama wa Deepseek na kwa watumiaji wake wa mwisho. Sio tu kwamba mshambuliaji anaweza kupata magogo nyeti na ujumbe halisi wa mazungumzo ya maandishi, lakini pia wanaweza kuzidisha nywila za maandishi wazi na faili za kawaida pamoja na habari ya usawa moja kwa moja kutoka kwa seva… kulingana na usanidi wao wa Clickhouse, “Nagli alisema. Nagli alifahamisha Deepseek juu ya huduma ya wazi ya Clickhouse kupitia njia za uwajibikaji, na kompyuta kila wiki inaelewa sasa wamefungwa. Clickhouse ni zana ya usimamizi wa hifadhidata ya chanzo wazi inayotumika kwa usindikaji, uhifadhi wa magogo na uchambuzi – ambayo hapo awali ilitengenezwa huko Yandex huko Urusi, ingawa sasa iko katika Silicon Valley. William Wright, Mkurugenzi Mtendaji wa Usalama wa Milango iliyofungwa, ushauri uliowekwa katika Visiwa vya Magharibi mwa Scotland, alisema maswala hayo yalikuwa juu ya kupewa Deepseek ilikuwa ikitoa baadhi ya viongozi wa AI waliowekwa vizuri ulimwenguni kwa pesa zao. “Usalama lazima uwe kipaumbele, lakini kuacha hifadhidata kama hii wazi ni kosa la rookie,” alisema. “Katika wiki iliyopita, Deepseek imekuwa ikitumwa kwa macho ya umma, lakini kampuni hiyo inajifunza wazi kuwa sio utangazaji wote ni utangazaji mzuri. “Kuwa na mazungumzo ya maandishi wazi katika hifadhidata inayoangalia umma kunaweza kuwapa wahalifu upatikanaji wa habari za siri zinazohusiana na biashara na watu binafsi. Wahalifu wanaweza pia kutumia amri zaidi kuiba habari zaidi kutoka kwa watumiaji, ambayo ingewaweka katika hatari kubwa zaidi. “Hii pia ni moja ya sababu kuu kwa nini mashirika lazima yafanye tathmini za haraka katika mitandao yao, kwa hivyo udhaifu unaweza kutambuliwa na kupunguzwa kabla ya kufunuliwa na watafiti au watendaji wa vitisho,” alisema Wright.