AI-tjänsten Deepseek R1 har snabbt blivit populär sedan sin lansering tidigare i veckan. Nu har säkerhetsföretaget Wiz Research upptäckt att en Clickhouse-databas varit offentligt tillgänglig på nätet utan krav på autentisering.
Det gick att ta full kontroll över databasen, enligt Wiz. I databasen fanns över en miljon loggar, inklusive chatthistorik från användare, lösenord i klartext samt API-nycklar och metadata.
Den här nivån av tillgång utgjorde en kritisk säkerhetsrisk för både Deepseek och dess användare. En angripare skulle inte bara kunna komma åt känsliga loggar och chattmeddelanden, utan även potentiellt extrahera lösenord och lokala filer. – Wiz.
Wiz har informerat Deepseek om den sårbara databasen och AI-företaget har sedan dess stängt ned den. Det är dock oklart hur länge databasen var tillgänglig innan den stängdes och om den hann utnyttjas av angripare.
Medan de flesta AI-säkerhetsdiskussioner kretsar kring framtida hot, är de största riskerna ofta grundläggande sårbarheter i exponerade databaser. Dessa problem borde vara en toppprioritet för säkerhetsteam. – Wiz.