AI Personal Learning
und praktische Anleitung
Aktueller Standort:Chef-KI-Austauschkreis AI Nachrichten Haupttext (im Gegensatz zu Fußnoten)

DeepSeek-Datenbankleck: Die Sicherheitsrisiken hinter Chinas KI-Aufstieg

2025-02-02 Klassifizierung:AI Nachrichten

In den letzten Jahren hat China auf dem Gebiet der künstlichen Intelligenz weltweit beachtete Erfolge erzielt, und eine Reihe von Unternehmen wie DeepSeek Dies ist ein innovatives Unternehmen. Bei der Verfolgung technologischer Durchbrüche dürfen jedoch Sicherheitsfragen nicht außer Acht gelassen werden. Das Leck in der DeepSeek-Datenbank hat wieder einmal Alarm geschlagen und uns daran erinnert, dass wir ein Gleichgewicht zwischen technologischer Entwicklung und Sicherheit finden müssen, damit wir nicht dieselben Fehler wiederholen.

Das Durchsickern bedeutet nicht, dass die Daten des Benutzers böswillig verwendet werden, dieser Test zeigt nur Sicherheitsprobleme auf, diese Schwachstelle wurde rechtzeitig nach der Entdeckung geschlossen, verfallen Sie nicht in Panik.PS: In der Tat, jedes Stück Ihrer Daten ist transparent. Und wenn man diese Schwachstelle beobachtet, kann man erahnen, zu welchem Zweck sie verwendet wird - warum sollte man sich in diesem Leben um die Privatsphäre kümmern?

 

Wiz Research legt DeepSeek-Datenbank offen und gibt sensible Informationen preis, darunter Chat-Protokolle


Eine öffentlich zugängliche Datenbank, die zu DeepSeek gehörte, ermöglichte die vollständige Kontrolle über die Datenbankoperationen, einschließlich der Möglichkeit, auf interne Daten zuzugreifen. Dabei wurden über eine Million Zeilen von Protokolldatenströmen mit hochsensiblen Informationen aufgedeckt.

DeepSeek-Datenbankleck: Die Sicherheitsrisiken hinter Chinas KI-Aufstieg-2

Wiz Research entdeckte eine öffentlich zugängliche ClickHouse-Datenbank, die DeepSeek gehörte und die vollständige Kontrolle über die Datenbankoperationen ermöglichte, einschließlich der Möglichkeit, auf interne Daten zuzugreifen. Das Team von Wiz Research informierte DeepSeek umgehend und verantwortungsbewusst über das Problem, woraufhin DeepSeek umgehend Maßnahmen zum Schutz der offengelegten Daten ergriff.

In diesem Blog-Beitrag werden wir unsere Ergebnisse im Detail vorstellen und ihre weiterreichenden Auswirkungen auf die Branche als Ganzes betrachten.

 

Abstracts

DeepSeek ist ein chinesisches KI-Startup, das für seine bahnbrechenden KI-Modelle bekannt ist, insbesondere für das DeepSeek-R1 Inferenzmodell, das in letzter Zeit viel Aufmerksamkeit in den Medien erhalten hat. Das Modell konkurriert in seiner Leistung mit führenden KI-Systemen wie o1 von OpenAI und zeichnet sich durch seine Kosteneffektivität und Effizienz aus.

Da DeepSeek im Bereich der künstlichen Intelligenz hohe Wellen schlug, machte sich das Team von Wiz Research daran, die externe Sicherheitslage des Unternehmens zu bewerten und mögliche Schwachstellen zu identifizieren.

Innerhalb weniger Minuten entdeckten wir eine öffentlich zugängliche ClickHouse-Datenbank, die mit DeepSeek verknüpft war und völlig offen und unauthentifiziert war, wodurch sensible Daten offengelegt wurden. Sie wird unter oauth2callback.deepseek.com:9000 und dev.deepseek.com:9000 gehostet.

Die Datenbank enthält eine große Menge an Chat-Protokollen, Back-End-Daten und sensiblen Informationen, darunter Protokollströme, API-Schlüssel und Betriebsdetails.

Noch wichtiger ist, dass diese Offenlegung die vollständige Kontrolle über die Datenbank und eine potenzielle Erhöhung der Berechtigungen innerhalb der DeepSeek-Umgebung ermöglicht, ohne dass eine Authentifizierung oder Schutzmechanismen gegen die Außenwelt erforderlich sind.

DeepSeek-Datenbankleck: Die Sicherheitsgefahren hinter Chinas KI-Aufstieg-3

DeepSeek-Datenbankleck: Die Sicherheitsgefahren hinter Chinas KI-Aufstieg-4

 

Belichtungsprozess

Unsere Aufklärungsbemühungen begannen mit der Auswertung der öffentlich zugänglichen Domänen von DeepSeek. Durch die Kartierung der externen Angriffsfläche mithilfe direkter Erkundungstechniken (passives und aktives Aufspüren von Subdomains) identifizierten wir etwa 30 dem Internet zugewandte Subdomains. Die meisten Subdomains schienen harmlos zu sein und beherbergten Elemente wie Chatbot-Schnittstellen, Statusseiten und API-Dokumentation, von denen zunächst keine auf ein hohes Risiko hindeuteten.

Als wir unsere Suche jedoch über die Standard-HTTP-Ports (80/443) hinaus ausdehnten, entdeckten wir zwei Hosts, die mit den folgenden verbunden sindUngewöhnlich offene Ports (8123 und 9000)::

  • http://oauth2callback.deepseek.com:8123
  • http://dev.deepseek.com:8123
  • http://oauth2callback.deepseek.com:9000
  • http://dev.deepseek.com:9000

Nach weiteren Untersuchungen wiesen die Häfen auf eineÖffentlich zugängliche ClickHouse-DatenbankAuf die Datenbank konnte ohne jegliche Authentifizierung zugegriffen werden - ein sofortiger Grund zur Sorge.

ClickHouse ist ein Open-Source-Datenbankmanagementsystem, das für schnelle analytische Abfragen großer Datensätze konzipiert ist. Es wurde von Yandex entwickelt und wird in großem Umfang für die Verarbeitung von Echtzeitdaten, die Speicherung von Protokollen und Big-Data-Analysen verwendet, was darauf hindeutet, dass diese Art der Offenlegung eine wertvolle und sensible Entdeckung ist.

DeepSeek-Datenbankleck: Die Sicherheitsgefahren hinter Chinas KI-Aufstieg-5

Über die HTTP-Schnittstelle von ClickHouse haben wir auf den Pfad /play zugegriffen, der wie folgt lautetErmöglicht die Ausführung beliebiger SQL-Abfragen direkt vom Browser aus. Führen Sie ein einfaches SHOW TABLES aus; die Abfrage liefert eine vollständige Liste der zugänglichen Datensätze.

DeepSeek-Datenbankleck: Die Sicherheitsgefahren hinter Chinas KI-Aufstieg-6

ClickHouse Web UI Ausgabeformulare

Eine Tabelle, die besonders auffällt, ist log_stream, die Tabellen mitHochsensible Dateneiner großen Anzahl von Protokollen.

Die Tabelle log_stream enthältÜber 1 Million ProtokolleinträgeDie erste ist, dass sie Spalten enthält, die besonders aufschlussreich sind:

DeepSeek-Datenbankleck: Die Sicherheitsgefahren hinter Chinas KI-Aufstieg-7

  • Zeitstempel - Protokolldatum von 6. Januar 2025Eröffnungsfeier
  • span_name - verweist auf verschiedene interne DeepSeek API Endpunkt
  • string.values - KlartextprotokollEnthältChatprotokoll, undAPI-Schlüssel, Backend-Details und operative Metadaten
  • _service - gibt an, welche DeepSeek DienstleistungenProtokolle werden erstellt
  • _Quelle - ExpositionQuelle der ProtokollanforderungEnthältChat-Protokolle, API-Schlüssel, Verzeichnisstruktur und Chatbot-Metadaten-Protokolle

DeepSeek-Datenbankleck: Die Sicherheitsrisiken hinter Chinas KI-Aufstieg-8

Diese Zugriffsmöglichkeit stellt ein ernsthaftes Risiko für die Sicherheit von DeepSeek selbst und seiner Endbenutzer dar. Ein Angreifer kann nicht nur sensible Protokolle und Chat-Nachrichten im Klartext abrufen, sondern auch Abfragen wie SELECT * FROM file('filename') verwenden, um Klartextpasswörter und lokale Dateien sowie geschützte Informationen direkt vom Server zu extrahieren, je nach ClickHouse-Konfiguration.

(Hinweis: Um ethische Forschungspraktiken zu wahren, haben wir keine über den Umfang der Aufzählung hinausgehenden Abfragen durchgeführt).

 

Die wichtigsten Erkenntnisse

Die schnelle Einführung von KI-Diensten ohne angemessene Sicherheitsmaßnahmen ist von Natur aus riskant. Diese Aufdeckung macht deutlich, dass die direkten Sicherheitsrisiken von KI-Anwendungen von der Infrastruktur und den Tools ausgehen, die sie unterstützen.

Während sich ein Großteil der Aufmerksamkeit rund um die KI-Sicherheit auf künftige Bedrohungen konzentriert hat, geht die wahre Gefahr oft von grundlegenden Risiken aus - wie der versehentlichen Offenlegung externer Datenbanken. Diese Risiken sind die Grundlage der Sicherheit und sollten für Sicherheitsteams weiterhin höchste Priorität haben.

Da Unternehmen immer mehr KI-Tools und -Dienstleistungen von einer wachsenden Zahl von Start-ups und Anbietern übernehmen, ist es wichtig, daran zu denken, dass wir diesen Unternehmen sensible Daten anvertrauen. Die rasche Einführung führt oft dazu, dass die Sicherheit vernachlässigt wird, aber der Schutz der Kundendaten muss weiterhin oberste Priorität haben. Die Sicherheitsteams müssen eng mit den KI-Ingenieuren zusammenarbeiten, um sicherzustellen, dass sie Einblick in die Architektur, die Tools und die verwendeten Modelle haben, damit wir die Daten schützen und eine Gefährdung verhindern können.

 

ein Urteil fällen

Noch nie hat sich eine Technologie so schnell durchgesetzt wie die KI. Viele KI-Unternehmen haben sich schnell zu Anbietern kritischer Infrastrukturen entwickelt, ohne die Sicherheitsrahmen, die normalerweise mit einer so weit verbreiteten Einführung einhergehen. Da KI weltweit immer stärker in Unternehmen integriert wird, muss die Branche die Risiken des Umgangs mit sensiblen Daten erkennen und Sicherheitspraktiken durchsetzen, die mit denen vergleichbar sind, die von öffentlichen Cloud-Anbietern und großen Infrastrukturanbietern verlangt werden.

Darf nicht ohne Genehmigung vervielfältigt werden:Chef-KI-Austauschkreis " DeepSeek-Datenbankleck: Die Sicherheitsrisiken hinter Chinas KI-Aufstieg

Empfohlen

Sie können keine AI-Tools finden? Versuchen Sie es hier!

   

Geben Sie einfach das Schlüsselwort Barrierefreiheit Bing-SucheDer Bereich KI-Tools auf dieser Website bietet eine schnelle und einfache Möglichkeit, alle KI-Tools auf dieser Website zu finden.

   

FLUX.1 Bildgenerator (unterstützt chinesische Eingaben)

Neuerscheinungen

Beliebte Artikel

Heiße Tags.

KI-Open-Source-ProjektAI Offene DienstePrompt JailbreakClaudeKI-ProgrammierungAI SchreibenAI Online-BilderzeugungKodierungKI-BildungstoolsKI IntelligenzKI-Lokalisierte Chat-AppAI Text-to-SpeechKI-SuchwerkzeugeWissensabfrage und der RAG-RahmenKI digitaler MenschKI-Tool zur Zusammenfassung von Text und Audio/VideoAI Text zu VideoKI-integrierte Multi-Modell-DialogplattformAI Life Efficiency AssistantAI Audio- und VideobearbeitungAI Bildstil-KontrolleKI-Hilfen zur BilderzeugungKI-ÜbersetzungAI Bild zu VideoAI-Bildvergrößerung und -WiederherstellungKI MarketingExtraktion und Reinigung von DokumentenAI Side Hustle Geldverdienen ProjektAI Speech to TextKI Stimme klonen

Chef-KI-Austauschkreis

Der Chief AI Sharing Circle konzentriert sich auf das KI-Lernen und bietet umfassende KI-Lerninhalte, KI-Tools und praktische Anleitungen. Unser Ziel ist es, den Nutzern dabei zu helfen, die KI-Technologie zu beherrschen und gemeinsam das unbegrenzte Potenzial der KI durch hochwertige Inhalte und den Austausch praktischer Erfahrungen zu erkunden. Egal, ob Sie ein KI-Anfänger oder ein erfahrener Experte sind, dies ist der ideale Ort für Sie, um Wissen zu erwerben, Ihre Fähigkeiten zu verbessern und Innovationen zu verwirklichen.

Kontaktieren Sie uns
de_DE_formalDeutsch (Sie)
zh_CN简体中文 en_USEnglish ja日本語 pt_BRPortuguês do Brasil de_DE_formalDeutsch (Sie)