DeepSeek a connu une catastrophe de sécurité informatique ! Plus d'un million de données ont été divulguées, y compris les clés API et l'historique des conversations des utilisateurs.

Le modèle d'IA publié par DeepSeek, une start-up chinoise spécialisée dans l'IA, a rapidement gagné en popularité cette semaine, attirant plus d'attention, mais jeudi, Wiz Research, une entreprise de sécurité cloud basée à New York, a publié un rapport indiquant que DeepSeek avait exposé une base de données clé en ligne, divulguant plus d'un million d'enregistrements, y compris des journaux système, des clés d'authentification API et des enregistrements de chat utilisateur. (Résumé de la situation précédente : OpenAI accuse DeepSeek de violation de droits d'auteur et l'auteur se rebelle : le plus grand voleur crie « attrapez le voleur », la marine américaine ordonne l'interdiction de DeepSeek) (Contexte : OpenAI détient des preuves de la « violation de droits d'auteur de DeepSeek », qui utilise la technologie de distillation GPT pour former l'IA chinoise) Le modèle d'IA publié par DeepSeek, une start-up chinoise spécialisée dans l'IA, a connu une popularité croissante ces derniers temps, mais il a également suscité l'attention des organismes de réglementation et des gouvernements du monde entier, soulevant des questions sur la vie privée, les mécanismes de censure et le risque de sécurité nationale lié à l'origine des fonds chinois. OpenAI a accusé DeepSeek de violation de droits d'auteur, et la marine américaine a ordonné l'interdiction totale de DeepSeek pour des raisons de sécurité et de risque moral. La fuite de données de DeepSeek Wiz Research, une entreprise de sécurité cloud basée à New York, a publié un rapport jeudi indiquant que la société avait découvert plus d'un million de données non protégées en analysant une base de données accessible au public de DeepSeek, y compris des journaux système, des clés d'authentification API et des enregistrements de chat, qui semblent avoir été obtenus à partir de messages envoyés par les utilisateurs à DeepSeek. L'étude montre que toute personne qui trouve cette base de données peut librement accéder à ces données, et Ami Luttwak, co-fondateur de Wiz, a déclaré que ces données ont été rapidement protégées après que la société ait alerté DeepSeek : ils ont retiré les données en moins d'une heure... Mais ces données sont si faciles à trouver que nous ne sommes probablement pas les seuls à les avoir découvertes. Wired rapporte que la base de données exposée sur Internet et accessible à tout le monde est depuis longtemps un problème à long terme que les entreprises et les fournisseurs de services cloud tentent de résoudre, mais les chercheurs de Wiz ont souligné que la base de données DeepSeek qu'ils ont découverte était presque immédiatement visible et ne nécessitait que le balayage le plus élémentaire pour être découverte. Les chercheurs ont découvert que ces données semblaient être stockées dans une base de données ClickHouse, une base de données Open Source courante utilisée pour l'analyse de serveur, et que les données divulguées correspondaient à cela, y compris les enregistrements d'opérations des utilisateurs sur la plate-forme DeepSeek, les commandes d'entrée et les clés API utilisées pour l'authentification. Divulgation facile soulève des inquiétudes en matière de sécurité Nir Ohfeld, responsable de la recherche sur les vulnérabilités chez Wiz, a déclaré que lorsqu'une entreprise découvre ce type de vulnérabilité, elle se trouve généralement dans un service négligé qui nécessite des heures de numérisation pour être découvert, mais cette fois-ci, c'est complètement différent : la base de données DeepSeek était presque visible devant eux : la difficulté technique pour découvrir cette vulnérabilité était la plus faible. Les chercheurs de Wiz n'ont effectué qu'une analyse de données minimale, mais ils ont suggéré que si des attaquants malveillants pouvaient obtenir ces données, ils pourraient même utiliser cette vulnérabilité pour infiltrer d'autres systèmes de DeepSeek et même exécuter des attaques de code à distance. Ami Luttwak, directeur technique de Wiz, a déclaré que cela indiquait que le service de DeepSeek n'était pas encore mûr et qu'il n'était pas adapté à des données sensibles. Des erreurs se produisent inévitablement, mais cette erreur est très grave car la société n'a presque pas eu besoin de dépenser d'efforts pour obtenir un tel niveau d'accès.