
Startup Inteligensi Buatan Tiongkok (AI) Buzzy Deepseek, yang telah mengalami peningkatan popularitas meteorik dalam beberapa hari terakhir, meninggalkan salah satu basis data yang terpapar di internet, yang dapat memungkinkan aktor jahat untuk mendapatkan akses ke data sensitif.
Database Clickhouse “memungkinkan kontrol penuh atas operasi basis data, termasuk kemampuan untuk mengakses data internal,” kata peneliti keamanan Wiz Gal Nagli.
Eksposur ini juga mencakup lebih dari satu juta lini aliran log yang berisi riwayat obrolan, kunci rahasia, detail backend, dan informasi yang sangat sensitif lainnya, seperti rahasia API dan metadata operasional. Deepseek sejak itu memasang lubang keamanan setelah upaya oleh perusahaan keamanan cloud untuk menghubungi mereka.

Database, yang diselenggarakan di OAuth2Callback.Deepseek[.]com: 9000 dan dev.deepseek[.]com: 9000, dikatakan telah mengaktifkan akses tidak sah ke berbagai informasi. Paparan, Wiz mencatat, memungkinkan untuk kontrol basis data lengkap dan potensi eskalasi hak istimewa dalam lingkungan Deepseek tanpa memerlukan otentikasi apa pun.
Ini melibatkan memanfaatkan antarmuka HTTP Clickhouse untuk menjalankan kueri SQL yang sewenang -wenang secara langsung melalui browser web. Saat ini tidak jelas apakah aktor jahat lainnya mengambil kesempatan untuk mengakses atau mengunduh data.
“Adopsi cepat layanan AI tanpa keamanan yang sesuai secara inheren berisiko,” kata Nagli dalam sebuah pernyataan yang dibagikan dengan Hacker News. “Sementara banyak perhatian di sekitar keamanan AI difokuskan pada ancaman futuristik, bahaya sebenarnya sering berasal dari risiko dasar – seperti paparan basis data eksternal yang tidak disengaja.”
“Melindungi data pelanggan harus tetap menjadi prioritas utama bagi tim keamanan, dan sangat penting bahwa tim keamanan bekerja sama dengan insinyur AI untuk melindungi data dan mencegah paparan.”


Deepseek telah menjadi topik du jour di lingkaran AI untuk model open-source inovatif yang mengklaim menyaingi sistem AI terkemuka seperti Openai, sementara juga menjadi efisien dan hemat biaya. Model R1 yang beralasan telah dipuji sebagai “momen sputnik AI.”
AI Chatbot Upstart telah berlari ke puncak grafik App Store di seluruh Android dan iOS di beberapa pasar, bahkan ketika telah muncul sebagai target “serangan jahat berskala besar,” mendorongnya untuk sementara waktu menghentikan pendaftaran.
Dalam pembaruan yang diposting pada 29 Januari 2025, perusahaan mengatakan telah mengidentifikasi masalah ini dan bekerja untuk menerapkan perbaikan.
Pada saat yang sama, perusahaan juga berada di ujung penerima pengawasan tentang kebijakan privasinya, belum lagi ikatan Cina menjadi masalah keprihatinan keamanan nasional untuk Amerika Serikat.

Selain itu, aplikasi Deepseek menjadi tidak tersedia di Italia tak lama setelah regulator perlindungan data negara itu, Garante, meminta informasi tentang praktik penanganan datanya dan di mana ia memperoleh data pelatihannya. Tidak diketahui apakah penarikan aplikasi sebagai tanggapan atas pertanyaan dari pengawas. Permintaan serupa telah dikirim oleh Komisi Perlindungan Data Irlandia (DPC) juga.
Bloomberg, Financial Times, dan The Wall Street Journal juga telah melaporkan bahwa OpenAi dan Microsoft sedang menyelidiki apakah Deepseek menggunakan Antarmuka Pemrograman Aplikasi OpenAI (API) tanpa izin untuk melatih modelnya sendiri pada output sistem Openai, pendekatan yang disebut sebagai penyulingan .
“Kami tahu kelompok itu masuk [China] secara aktif bekerja untuk menggunakan metode, termasuk apa yang dikenal sebagai distilasi, untuk mencoba mereplikasi model AI US canggih, “kata juru bicara Openai kepada The Guardian.