PEKING / MÜNCHEN (IT BOLTWISE) – Ein schwerwiegendes Sicherheitsproblem bei DeepSeek, einem aufstrebenden chinesischen KI-Startup, hat kürzlich die Aufmerksamkeit der Tech-Welt auf sich gezogen.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
DeepSeek, ein viel beachtetes chinesisches KI-Startup, hat kürzlich eine Sicherheitslücke in einer seiner Datenbanken entdeckt, die potenziell sensible Informationen preisgeben könnte. Diese Schwachstelle wurde von einem Sicherheitsforscher der Firma Wiz entdeckt, der darauf hinwies, dass die ClickHouse-Datenbank vollständige Kontrolle über Datenbankoperationen ermöglicht, einschließlich des Zugriffs auf interne Daten.
Die Sicherheitslücke umfasste über eine Million Zeilen von Log-Streams, die Chat-Verläufe, geheime Schlüssel, Backend-Details und andere hochsensible Informationen wie API-Geheimnisse und operative Metadaten enthielten. DeepSeek hat die Sicherheitslücke inzwischen geschlossen, nachdem das Unternehmen von der Cloud-Sicherheitsfirma kontaktiert wurde.
Die Datenbank, die unter oauth2callback.deepseek[.]com:9000 und dev.deepseek[.]com:9000 gehostet wurde, ermöglichte unbefugten Zugriff auf eine Vielzahl von Informationen. Laut Wiz erlaubte die Sicherheitslücke eine vollständige Kontrolle über die Datenbank und potenzielle Privilegieneskalation innerhalb der DeepSeek-Umgebung, ohne dass eine Authentifizierung erforderlich war. Dies geschah durch die Nutzung der HTTP-Schnittstelle von ClickHouse, um beliebige SQL-Abfragen direkt über den Webbrowser auszuführen.
Es ist derzeit unklar, ob andere böswillige Akteure die Gelegenheit genutzt haben, um auf die Daten zuzugreifen oder diese herunterzuladen. “Die rasche Einführung von KI-Diensten ohne entsprechende Sicherheitsmaßnahmen ist von Natur aus riskant”, sagte Gal Nagli, ein Sicherheitsforscher von Wiz, in einer Erklärung. “Während sich viel Aufmerksamkeit auf futuristische Bedrohungen im Bereich der KI-Sicherheit konzentriert, liegen die realen Gefahren oft in grundlegenden Risiken wie der versehentlichen externen Exposition von Datenbanken.”
DeepSeek hat sich in KI-Kreisen als Thema des Tages etabliert, da es mit seinen bahnbrechenden Open-Source-Modellen, die behaupten, führende KI-Systeme wie OpenAI zu rivalisieren, für Aufsehen sorgt. Sein KI-Chatbot hat es an die Spitze der App-Store-Charts auf Android und iOS in mehreren Märkten geschafft, obwohl es Ziel groß angelegter böswilliger Angriffe geworden ist, was das Unternehmen dazu veranlasste, die Registrierung vorübergehend zu pausieren.
In einem Update vom 29. Januar 2025 erklärte das Unternehmen, dass es das Problem identifiziert habe und an einer Lösung arbeite. Gleichzeitig sieht sich das Unternehmen auch einer genauen Prüfung seiner Datenschutzrichtlinien ausgesetzt, ganz zu schweigen von den chinesischen Verbindungen, die in den USA zu einem nationalen Sicherheitsanliegen geworden sind.
Darüber hinaus wurden die Apps von DeepSeek in Italien kurz nach der Anfrage der Datenschutzbehörde des Landes nach Informationen über seine Datenverarbeitungspraktiken und die Herkunft seiner Trainingsdaten unzugänglich. Es ist nicht bekannt, ob der Rückzug der Apps eine Reaktion auf die Fragen der Aufsichtsbehörde war.
Bloomberg, The Financial Times und The Wall Street Journal berichteten ebenfalls, dass sowohl OpenAI als auch Microsoft untersuchen, ob DeepSeek die API von OpenAI ohne Erlaubnis genutzt hat, um seine eigenen Modelle auf der Grundlage der Ausgaben von OpenAI-Systemen zu trainieren, ein Ansatz, der als Destillation bezeichnet wird.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "DeepSeek: Sicherheitslücke enthüllt sensible Daten".
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "DeepSeek: Sicherheitslücke enthüllt sensible Daten" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.