Η DeepSeek είναι πλέον η πιο δημοφιλής εφαρμογή τεχνητής νοημοσύνης στο App Store, ενώ παρουσιάζει μεγάλη άνοδο και στο Android. Όμως θα πρέπει να είστε πολύ προσεκτικοί στην χρήση της και να μην δίνεται προσωπικά σας δεδομένα, όπως άλλωστε και με κάθε άλλο AI Chatbot, καθώς βάση της DeepSeek παρουσίασε ευπάθεια και κάποιος μπορεί να έχει ήδη πάρει τα δεδομένα χρηστών.
Ερευνητές της Wiz, εντόπισαν εχθές μια δημόσια βάση δεδομένων που άνηκε στην DeepSeek, η οποία επέτρεπε σε οποιονδήποτε να έχει πρόσβαση στα εσωτερικά δεδομε΄να της εταιρίας. Κοινώς, ήταν ένα κενό ασφαλείας και όποιος το εκμεταλλευόταν είχε πρόσβαση στα αρχεία καταγραφής συνομιλιών, ευαίσθητες πληροφορίες χρηστών, μαζί με τα μυστικά κλειδιά για την ταυτοποίηση των λογαριασμών τους, σύμφωνα με την Wiz.
Πριν ενημερώσει το κοινό, η Wiz επικοινώνησε με την DeepSeek, που διόρθωσε το κοινό ασφαλείας άμεσα. Το περιστατικό όμως θα πρέπει να μας ανησυχήσει, καθώς αρκετός κόσμος χρησιμοποιεί εργαλεία τεχνητής νοημοσύνης, εισάγοντας σε αυτά προσωπικά δεδομένα, φωτογραφίες και λογαριασμούς. Όλα τα μοντέλα τεχνητής νοημοσύνης, τρέχουν σε servers της εκάστοτε εταιρίες και κάθε server μπορεί να διαθέτει κενά ασφαλείας, είτε από bugs είτε από λάθος στο στήσιμο. Κάποιος μπορεί να εκμεταλλευτεί αυτά τα κενά ασφαλείας για να κλέψει τα δεδομένα χρηστών, μαζί με τους λογαριασμούς του.
Στην συγκεκριμένη περίπτωση, η DeepSeek χρησιμοποιούσε μια βάση δεδομένων ClickHouse, που ήταν προσβάσιμη χωρίς κάποια πιστοποίηση χρήστη. Αυτό ήταν καθαρά παράβλεψη του διαχειριστή, αφού όποιος ανακάλυπτε αυτή τη βάση δεδομένων, μπορούσε να τρέξει SQL εντολές για να αποκτήσει πρόσβαση σε εκατομμύρια καταχωρήσεις, με τα ερωτήματα χρηστών, τις συνομιλίες με το chatbot και γενικότερα σε ότι έχει κάνει ο χρήστης. Μάλιστα, τα δεδομένα δεν ήταν κρυπτογραφημένα, οπότε κάποιος hacker θα μπορούσε να τα εξάγει αρκετά εύκολα.
«Είναι αρκετά σοκαριστικό να δημιουργείς ένα μοντέλο τεχνητής νοημοσύνης και να αφήνεις το backdoor ορθάνοιχτο από την άποψη της ασφάλειας», λέει ο ανεξάρτητος ερευνητής ασφάλειας Jeremiah Fowler, ο οποίος δεν συμμετείχε στην έρευνα του Wiz αλλά ειδικεύεται στην ανακάλυψη εκτεθειμένων βάσεων δεδομένων. «Αυτός ο τύπος λειτουργικών δεδομένων και η δυνατότητα πρόσβασης σε αυτά και στη συνέχεια χειραγώγησης για οποιονδήποτε με σύνδεση στο Διαδίκτυο αποτελεί σημαντικό κίνδυνο για τον οργανισμό και τους χρήστες».
Αυτή είναι το νέο design της εφαρμογής κλήσεων του Android
Πρόβλημα υπήρχε μόνο σε αυτή την βάση, ενώ όλα τα υπόλοιπα συστήματα και βάσεις φαίνεται να ήταν ασφαλή. Για αυτό πιθανότατα η αιτία ήταν καθαρά ατομικό λάθος. Για αυτό, όπως σας είπαμε, ποτέ δε δίνουμε προσωπικές πληροφορίες και αρχεία που περιέχουν σημαντικά δεδομένα για το πρόσωπό μας ή για την εταιρία που εργαζόμαστε, σε οποιοδήποτε chatbot. Με την άνοδο της τεχνητής νοημοσύνης, τα chatbots έχουν γίνει στόχος από hackers σε όλο τον κόσμο, καθώς όλο και περισσότεροι, χωρίς να το σκεφτούν πολύ, δίνουν πληροφορίες τόσο στις εταιρίες που τα διαχειρίζονται, όσο και σε όσους μπορούν να αποκτήσουν παράνομα πρόσβαση.
Η DeepSeek δεν έχει σχολιάσει το θέμα και δεν έχει δώσει πληροφορίες για το αν η εν λόγω βάση είχε προσπελαστεί από κάποιον που δεν πρέπει.
Για όσους θέλουν να διαβάσουν όλη την έκθεση της Wiz, μπορείτε να την βρείτε ΕΔΩ.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
