Kod źródłowy oprogramowania AI DeepSeek ujawnia wiele niespodzianek

Cechą szczególną DeepSeek jest to, że oprogramowanie jest rozwijane jako oprogramowanie typu open source, co pozwala społeczności na dołączanie do niego, a deweloperom na wbudowywanie tego narzędzia AI w swoje produkty.

W związku z globalnym „podnieceniem” DeepSeek, eksperci z firmy Wiz (USA), zajmującej się bezpieczeństwem, poddali szczegółowej analizie otwarty kod źródłowy tego narzędzia AI.

Eksperci odkryli, że narzędzie ujawniło wiele ważnych baz danych, w tym logi systemowe, zawartość poleceń użytkownika, a nawet tokeny uwierzytelniania API (tokeny bezpieczeństwa służące do uwierzytelniania dostępu do interfejsów programistycznych DeepSeek)…

Łącznie, osoby z zewnątrz mogą bez żadnych ograniczeń uzyskać dostęp do ponad miliona rekordów ważnych danych DeepSeek. Co ciekawe, dane te można znaleźć za pomocą kilku prostych technik, wykorzystując kod źródłowy, zamiast konieczności dogłębnego przeszukiwania i wykorzystywania go w trudny sposób.

„To był poważny błąd ze strony DeepSeek, ponieważ poziom bezpieczeństwa był bardzo niski, a my mieliśmy bardzo szeroki dostęp bez żadnych ograniczeń uprawnień” – powiedział Ami Luttwak, dyrektor techniczny Wiz.

„To pokazuje, że DeepSeek nie jest na tyle bezpieczny, aby użytkownicy mogli udostępniać jakiekolwiek swoje wrażliwe i ważne dane” – dodał Luttwak.

Eksperci ds. bezpieczeństwa obawiają się również, że osoby trzecie mogą wykorzystać wyciekłe bazy danych, aby wniknąć głębiej w system DeepSeek, uruchomić złośliwy kod w celu kradzieży danych użytkowników lub manipulować odpowiedziami udzielanymi użytkownikom przez to narzędzie sztucznej inteligencji.

„Z punktu widzenia bezpieczeństwa szokujące jest stworzenie modelu sztucznej inteligencji i pozostawienie otwartych drzwi” – ​​skomentował Jeremiah Fowler, niezależny badacz ds. bezpieczeństwa, po przeczytaniu raportu opublikowanego przez Wiz.

„Oznacza to, że każdy, kto ma połączenie z internetem, może uzyskać dostęp do tego narzędzia AI i nim manipulować, co stwarza ogromne ryzyko dla organizacji i użytkowników” – dodał Fowler.

Nadal nie jest jasne, czy jacyś złoczyńcy wykorzystali wyciek poufnych danych z DeepSeek do przeprowadzenia ciemnych intryg.

Eksperci ds. bezpieczeństwa firmy Wiz próbowali skontaktować się z firmą DeepSeek, aby poinformować ją o swoich odkryciach.

DeepSeek milczał i nie odpowiedział. Jednak ponad pół godziny po wysłaniu raportu e-mailem eksperci Wiz odkryli, że wyciekłe dane w kodzie źródłowym DeepSeek nie są już dostępne, co oznaczało, że DeepSeek interweniował, aby rozwiązać problem.

DeepSeek to startup założony w 2023 roku przez Luonga Van Phonga. Siedziba firmy znajduje się w Hangzhou w Chinach.

20 stycznia DeepSeek udostępnił użytkownikom narzędzie oparte na sztucznej inteligencji o nazwie R1. Narzędzie to natychmiast „wywołało gorączkę” na całym świecie dzięki swojej szybkości i imponującej zdolności reagowania.

Wielu użytkowników uważa również, że DeepSeek R1 dostarcza inteligentniejszych, dokładniejszych i szybszych odpowiedzi niż inne narzędzia ze sztuczną inteligencją, takie jak ChatGPT, Gemini czy Llama...

Najbardziej zaskakujące jest to, że koszty stworzenia i eksploatacji tego modelu sztucznej inteligencji (AI) wynosiły zaledwie 5,6 mln dolarów, podczas gdy amerykańskie firmy technologiczne wydają setki, a nawet miliardy dolarów na opracowywanie i obsługę własnych modeli AI.

Kolejnym powodem, dla którego DeepSeek przyciąga uwagę świata technologii, jest fakt, że to narzędzie oparte na sztucznej inteligencji powstało i zostało opracowane w czasie, gdy rząd USA nakładał sankcje, uniemożliwiając chińskim firmom dostarczanie wydajnych układów scalonych opartych na sztucznej inteligencji.

Oznacza to, że technologia DeepSeek została opracowana i działa na układach AI o niskiej wydajności, ale nadal charakteryzuje się imponującą mocą.

Pojawienie się DeepSeek zwiastuje zacięty wyścig w rozwoju sztucznej inteligencji między dwoma supermocarstwami, USA i Chinami.

Jednak oprócz dużego uznania, wiele osób obawia się, że DeepSeek jest narzędziem rządu Pekinu służącym do zbierania informacji o użytkownikach za pomocą pytań i udzielania odpowiedzi korzystnych dla chińskiej polityki.