استارتاپ چینی DeepSeek، سازنده چتبات پیشرفته DeepSeek R1، اخیراً با یک رسوایی بزرگ در زمینه نقض داده روبرو شده است. محققان امنیتی یک آسیبپذیری جدی در زیرساخت پایگاه داده این شرکت کشف کردند که منجر به افشای اطلاعات حساس کاربران و اسرار عملیاتی آن شد.
به گفته منبع، این حادثه نگرانیهای جدی را در مورد اقدامات امنیتی شرکتهای هوش مصنوعی، به ویژه با توجه به برنامههای توسعه جهانی DeepSeek، برانگیخته است.
ماجرا چه بود؟
این نشت اطلاعاتی توسط شرکت امنیت سایبری Wiz Research کشف شد. محققان این شرکت تنها چند دقیقه پس از اسکن سیستمهای DeepSeek، به یک پایگاه داده ClickHouse عمومی که روی سرورهای این شرکت قرار داشت، دسترسی پیدا کردند.
نکته فاجعهبار این بود که این پایگاه داده هیچ نوع احراز هویتی نداشت و به راحتی برای هر کسی در اینترنت قابل دسترس بود. این امر باعث دسترسی نامحدود به بیش از یک میلیون رکورد اطلاعاتی شامل تاریخچه چتها، کلیدهای API، جزئیات عملیاتی سیستم و فرادادهها شد.
وضعیت زمانی وخیمتر شد که مشخص شد این پایگاه داده دارای مجوزهای مدیریتی کامل بوده است. این یعنی مهاجمان نه تنها میتوانستند اطلاعات را ببینند، بلکه قادر به تغییر یا حذف آنها نیز بودند. محققان اشاره کردند که بسته به نحوه پیکربندی پایگاه داده، مهاجمان حتی میتوانستند با استفاده از دستورات ساده SQL، رمزهای عبور و فایلهای محرمانه را به صورت متن ساده بازیابی کنند.
آسیبپذیریهای DeepSeek R1
علاوه بر نشت اطلاعات، DeepSeek R1 به دلیل آسیبپذیری در برابر حملات سایبری نیز مورد انتقاد قرار گرفته است. محققان امنیتی نشان دادهاند که چگونه این مدل میتواند با استفاده از تکنیکهایی مانند “Evil Jailbreak” (نوعی حمله سایبری) مورد سوء استفاده قرار گیرد و مکانیسمهای ایمنی آن دور زده شود تا محتوای مضر تولید کند. این آسیبپذیریها نگرانیها در مورد توانایی شرکت در حفاظت از سیستمها و کاربرانش را بیشتر میکند.
DeepSeek پس از اطلاع از این موضوع توسط Wiz Research، به سرعت برای ایمن کردن پایگاه داده آسیبپذیر اقدام کرد. با این حال، این واکنش سریع نمیتواند پیامدهای گستردهتر چنین سهلانگاری را جبران کند.
کارشناسان امنیتی، این شرکت را به دلیل عدم اجرای اقدامات امنیتی اولیه مانند پروتکلهای احراز هویت و رمزگذاری مورد انتقاد قرار دادهاند. گال ناگلی، محقق امنیت ابری در Wiz، خاطرنشان کرد که در حالی که بیشتر تمرکز در امنیت هوش مصنوعی روی تهدیدهای پیچیده مانند حملات خصمانه است، اشتباهات اساسی مانند پایگاههای داده در معرض خطر، خطرات بسیار بزرگتری را ایجاد میکنند.
پیامدهای گستردهتر برای استارتآپهای هوش مصنوعی
نشت اطلاعات DeepSeek تنها یک مورد منفرد نیست، بلکه نشانهای از یک مشکل بزرگتر در صنعت هوش مصنوعی با رشد سریع است. از آنجا که شرکتها برای استقرار مدلهای هوش مصنوعی و افزایش تعداد کاربران خود عجله دارند، بسیاری از آنها پروتکلهای امنیتی ضروری را نادیده میگیرند.
این بیتوجهی نه تنها اعتماد کاربران را خدشهدار میکند، بلکه کسبوکارها را در معرض بررسیهای قانونی و عواقب احتمالی قرار میدهد. این حادثه همچنین سؤالاتی را در مورد آمادگی DeepSeek برای توسعه جهانی ایجاد کرده است.
این شرکت اخیراً برنامههایی را برای میزبانی خدمات خود در سرورهای محلی در هند، مطابق با سیاستهای بومیسازی داده این کشور، اعلام کرده بود. با این حال، این حادثه تردیدهایی را در مورد اینکه آیا DeepSeek میتواند استانداردهای سختگیرانه حفاظت از داده هند را برآورده کند، ایجاد میکند.
بررسی قانونی و نگرانیهای کاربران
این نشت اطلاعاتی توجه مقامات نظارتی در سراسر جهان را به خود جلب کرده است. مقامهای ایتالیایی و ایرلندی تحقیقاتی را در مورد نحوه مدیریت دادههای DeepSeek آغاز کردهاند، در حالی که نیروی دریایی ایالات متحده به پرسنل خود در مورد استفاده از خدمات آن به دلیل نگرانیهای امنیتی هشدار داده است.
