Kildekoden til AI-programvaren DeepSeek avslører mange overraskelser

Det spesielle med DeepSeek er at programvaren er utviklet som åpen kildekode, slik at fellesskapet kan bidra og utviklere kan bygge inn dette AI-verktøyet i produktene sine.

I sammenheng med at DeepSeek «forårsaker feber» globalt, har eksperter fra sikkerhetsselskapet Wiz (USA) nøye gjennomgått den åpne kildekoden til dette AI-verktøyet.

Eksperter har oppdaget at dette verktøyet eksponerer mange av dets viktige databaser, inkludert systemlogger, innhold i brukerkommandoer og til og med API-autentiseringstokener (sikkerhetstokener for å autentisere tilgang til DeepSeeks programmeringsgrensesnitt) ...

Totalt sett kan utenforstående få tilgang til mer enn 1 million poster med viktige data fra DeepSeek uten begrensninger. Det er verdt å merke seg at disse dataene kan finnes gjennom noen få små teknikker når man utnytter kildekoden, i stedet for å måtte søke dypt og utnytte den på en vanskelig måte.

«Dette var en alvorlig feil av DeepSeek fordi sikkerhetsnivået var veldig lavt, og vi hadde veldig høy tilgang uten noen begrensninger på tillatelser», sa Ami Luttwak, teknologidirektør i Wiz.

«Dette viser at DeepSeek ikke er sikkert nok til at brukerne kan oppgi sensitive og viktige data», la Luttwak til.

Sikkerhetseksperter er også bekymret for at ondsinnede aktører kan utnytte disse lekkede databasene til å trenge dypere inn i DeepSeeks system, kjøre ondsinnet kode for å stjele brukerinformasjon eller manipulere svarene som dette AI-verktøyet gir brukerne.

«Det er sjokkerende fra et sikkerhetsperspektiv å bygge en AI-modell og la bakdøren stå vidåpen», kommenterte Jeremiah Fowler, en uavhengig sikkerhetsforsker, etter å ha lest rapporten publisert av Wiz.

«Dette betyr at alle med internettforbindelse kan få tilgang til og deretter manipulere dette AI-verktøyet, noe som utgjør en enorm risiko for organisasjoner og brukere», la Fowler til.

Det er fortsatt uklart om noen ondsinnede aktører har utnyttet DeepSeeks lekkede sensitive data til å gjennomføre mørke planer.

Wiz sikkerhetseksperter forsøkte å kontakte DeepSeek for å varsle dem om funnene sine.

DeepSeek forble tause og svarte ikke. Mer enn en halvtime etter at rapporten ble sendt via e-post, fant imidlertid Wiz-eksperter ut at de lekkede dataene i DeepSeeks kildekode ikke lenger var tilgjengelige, noe som betydde at DeepSeek hadde grepet inn for å håndtere problemet.

DeepSeek er en oppstartsbedrift grunnlagt i 2023 av Luong Van Phong. Selskapet har hovedkontor i Hangzhou, Kina.

Den 20. januar lanserte DeepSeek et AI-verktøy kalt R1 til brukere. Dette verktøyet «skapte feber» globalt umiddelbart takket være sin imponerende og raske responsevne.

Mange brukere vurderer også DeepSeek R1 som å gi smartere, mer nøyaktige og raskere svar enn andre AI-verktøy som ChatGPT, Gemini eller Llama...

Det som gjør DeepSeek mest overraskende er at denne AI-modellen bare koster 5,6 millioner dollar å bygge og drifte, mens amerikanske teknologiselskaper bruker hundrevis, til og med milliarder av dollar på å utvikle og drifte sine egne AI-modeller.

Et annet poeng som gjør at DeepSeek tiltrekker seg teknologiverdenens oppmerksomhet, er at dette AI-verktøyet ble født og utviklet på et tidspunkt da den amerikanske regjeringen innførte sanksjoner som forhindret levering av høytytende AI-brikker til kinesiske selskaper.

Det betyr at DeepSeek ble utviklet og kjører på lavtytende AI-brikker, men fortsatt demonstrerer imponerende kraft.

Fremveksten av DeepSeek lover å skape et hardt kappløp innen AI-utvikling mellom de to supermaktene USA og Kina.

Men i tillegg til den store anerkjennelsen, er mange bekymret for at DeepSeek er et verktøy for Beijing-regjeringen for å samle inn brukerinformasjon gjennom spørsmål eller å gi svar som er gunstige for kinesisk politikk.