【大纪元2025年01月30日讯】(大纪元记者夏雨综合报导)周三(1月29日)总部位于纽约的网络安全公司Wiz表示,它发现中国人工智能初创公司DeepSeek的大量敏感数据无意中暴露在开放的互联网上。
在周三发表的一篇博客文章中,Wiz表示,随着DeepSeek在AI领域掀起波澜,Wiz研究团队着手评估其外部安全态势并识别任何潜在漏洞。几分钟内,Wiz发现一个可公开访问的ClickHouse数据库链接到DeepSeek,完全开放且未经身份验证,暴露了敏感数据。
Wiz文章说,该数据库包含大量聊天纪录、后端数据和敏感信息,包括日志流、API机密和操作详细信息。
更糟糕的是,Wiz说,这种暴露允许完全控制数据库,并在DeepSeek环境中进行潜在权限提升,而无需任何身份验证或外部访问障碍。
这意味着,人们可以从公共互联网上访问与在线DeepSeek聊天机器人的对话,以及更多数据,而无需密码。
Wiz表示,对DeepSeek基础设施的扫描显示,该公司无意中留下了超过一百万行未受保护的数据。这些数据包括数字软件密钥和聊天纪录,似乎记录了用户向该公司免费AI助手发送的提示。
Wiz首席技术官阿米‧勒特韦克(Ami Luttwak)表示,DeepSeek在Wiz警告他们后迅速修复了这个问题。
“他们在不到一小时内就把它删除了。”勒特韦克说,“但这个数据很容易找到,我们相信我们并不是唯一发现它的人。”
DeepSeek上周推出一款免费人工智能助手。本周一,因其低成本,DeepSeek应用在苹果商店下载量已超过美国竞争对手ChatGPT,引发科技股抛售。
周二,意大利监管机构Garante表示,希望了解DeepSeek收集了哪些个人数据、从哪里来源收集、出于何种目的收集、基于何种法律依据,以及数据是否存储在中国等信息。它给了DeepSeek及其附属公司20天时间做出回应。
周二,澳洲工业与科技部长埃德‧休西克(Ed Husic)对DeepSeek的数据隐私管理表达了担忧,并敦促澳洲用户在下载时三思。
他对澳广表示,“有许多关于品质、消费者偏好、资料与隐私管理的问题需要及时解答。我会对此非常谨慎。这类问题需要仔细权衡。”他表示,在用户隐私和数据管理方面,中国公司有时与西方竞争对手有所不同。
周三,爱尔兰监管机构也在一份声明中表示:“数据保护委员会(DPC)已致函DeepSeek,要求其提供有关在爱尔兰对数据主体进行的数据处理信息。”
责任编辑:叶紫微#
