Yakın zamanda büyük bir ilgi toplayan Çinli yapay zekâ modeli DeepSeek, bu sefer bir güvenlik açığı ile gündemde. Wiz Research, DeepSeek’in harici altyapısının güvenlik değerlendirmesi sırasında bu açığı keşfetti.
Güvenlik firması, kimlik doğrulaması gerektirmeden bir web arayüzü üzerinden keyfi SQL sorgularına izin veren oauth2callback.deepseek.com:9000 ve dev.deepseek.com:9000 adreslerinde herkese açık iki veri tabanı örneği buldu.
Veri tabanları, 6 Ocak 2025’ten kalma hassas dahili günlükleri depolayan bir ‘log_stream’ tablosu içeriyordu:
“Bu erişim düzeyi DeepSeek’in kendi güvenliği ve son kullanıcıları için kritik bir risk oluşturuyor. Bir saldırgan ClickHouse yapılandırmalarına bağlı olarak SELECT * FROM file(‘filename’) gibi sorgular kullanıp doğrudan sunucudan düz metin parolaları ve yerel dosyaları sızdırabilir.”
-Wiz Research
Wiz Research DeepSeek’i hemen bilgilendirdi ve şirket bu durumu derhâl ele aldı, bu nedenle veri tabanları artık herkese açık değil.
DeepSeek’in Çin merkezli bir teknoloji şirketi olması nedeniyle ortaya çıkan tüm endişelerin yanı sıra, ülke hükûmetinin agresif veri erişim taleplerine uymak zorunda olması nedeniyle şirket sağlam bir güvenlik yapısı oluşturmamış gibi görünüyor. Bu da hassas verileri riske atıyor.
Kullanıcı verisinin ifşası, hassas iş operasyonları için yapay zekâ modelini kullanan kuruluşlar için çok endişe verici olması gereken bir gizlilik ihlali.
Ek olarak API anahtarlarının ifşası, saldırganlara DeepSeek’in dahili ağlarına, ayrıcalık yükseltmesine ve potansiyel olarak daha büyük ölçekli ihlallere bir yol açabilir. Daha önceden de DeepSeek, Avrupa Birliği ve ABD tarafından potansiyel tehdit olarak görülmüştü.
Kaynak: BleepingComputer
