DeepSeek爆資安災難！超100萬筆數據外洩，API金鑰、用戶對話紀錄全看光

中國 AI 新創公司 DeepSeek 發表的 AI 模型本週迅速崛起，也讓該服務受到更多關注，然而，紐約雲端資安公司 Wiz Research 週四發布報告指出，DeepSeek 竟將一個關鍵資料庫暴露在網路上，外洩超過 100 萬筆記錄，包括系統日誌、 API 認證金鑰和用戶聊天紀錄。 （前情提要：OpenAI怒控DeepSeek侵權創作者反酸：最大的小偷喊抓賊、美國海軍下令封殺DeepSeek） （背景補充：OpenAI已掌握證據「DeepSeek侵權」，盜用GPT distillation技術訓練中國AI） 中國 AI 新創公司 DeepSeek 發表的 AI 模型近來迅速走紅，但也引發全球監管機構與政府的關注，對其隱私、審查機制及中資背景是否帶來國安風險提出質疑，OpenAI 已指控 DeepSeek 侵權，美國海軍也以安全和道德風險為由，下令全面禁用 DeepSeek 。 DeepSeek上百萬筆資料外洩 紐約雲端資安公司 Wiz Research 周四更發布報告指出，該公司在掃描 DeepSeek 一個可公開造訪的資料庫後發現，DeepSeek 意外外洩超過 100 萬條未受保護資料，包括系統日誌、 API 認證金鑰、聊天紀錄，似乎是從用戶向 DeepSeek 發送的訊息取得。 該研究顯示，任何人只要發現該資料庫，都能自由存取這些數據，Wiz 聯合創辦人 Ami Luttwak 透露，在該公司向 DeepSeek 發出警告後，這些資料很快地獲得保護： 他們在不到 1 小時就將資料移除… 但這些資料是如此容易被找到，相信我們並不是唯一發現的人。 Wired 報導，暴露在開放網路上、任何人都能訪問的資料庫，一直是企業和雲端服務提供商努力解決的長期問題，但 Wiz 研究人員強調，他們發現的 DeepSeek 資料庫幾乎是立即可見，僅需最基本的掃描即可發現。 研究人員發現，這批數據似乎存放於 ClickHouse 資料庫，這是一種常見的開源資料庫，通常用於伺服器分析，而外洩的資料也與此吻合，包括用戶在 DeepSeek 平台上的操作記錄、輸入的指令，以及用於身份驗證的 API 金鑰。 輕易外洩引安全疑慮 Wiz 資安漏洞研究負責人 Nir Ohfeld 表示，通常當該公司發現此類漏洞時，都是在某個被忽視的服務中，需要花數小時掃描才會找到，但這次完全不同，DeepSeek 的資料庫幾乎就擺在眼前： 發現這個漏洞的技術難度是最低的。 Wiz 研究人員只進行最低限度的數據分析，但他們推測，惡意攻擊者若能獲得這些資料，甚至可能利用該漏洞，進一步滲透 DeepSeek 的其他系統，甚至執行遠端程式碼攻擊。 Wiz 技術長 Ami Luttwak 指出，這表明 DeepSeek 的服務尚未成熟，根本不適合用於任何敏感數據，發生錯誤是難免的，但此次錯誤非常嚴重，因為該公司幾乎不需花費任何精力，就能獲取如此高層級的訪問權限。 相關報導 Deepseek R1打通「DeFAI新時代」，開源與AI代理出現什麼新路徑？ DeepSeek推出AI 多模態開源模型「Janus-Pro」，圖像生成碾壓 DALL-E 3、Stable Diffusion DeepSeek 對加密 AI 賽道形成降維打擊，普跌之下哪些專案值得關注？ 〈DeepSeek爆資安災難！超100萬筆數據外洩，API金鑰、用戶對話紀錄全看光〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。