Källkoden för AI-programvaran DeepSeek avslöjar många överraskningar

Det speciella med DeepSeek är att programvaran är utvecklad med öppen källkod, vilket gör det möjligt för communityn att bidra och utvecklare att bädda in detta AI-verktyg i sina produkter.

I samband med att DeepSeek "orsakar feber" globalt har experter från säkerhetsföretaget Wiz (USA) noggrant granskat den öppna källkoden för detta AI-verktyg.

Experter upptäckte att verktyget exponerade många av dess viktiga databaser, inklusive systemloggar, innehåll i användarkommandon och till och med API-autentiseringstokens (säkerhetstokens som används för att autentisera åtkomst till DeepSeeks programmeringsgränssnitt)...

Totalt kan utomstående utan några begränsningar få tillgång till över 1 miljon poster med viktig data från DeepSeek. Det är värt att notera att dessa data kan hittas genom några få små tekniker när man utnyttjar källkoden, istället för att behöva söka djupt och utnyttja den på ett krångligt sätt.

”Detta var ett allvarligt misstag av DeepSeek eftersom säkerhetsnivån var mycket låg och vi hade mycket hög åtkomst utan några begränsningar av behörigheter”, sa Ami Luttwak, teknisk chef på Wiz.

"Detta visar att DeepSeek inte är tillräckligt säkert för att användare ska kunna lämna ut någon av sina känsliga och viktiga uppgifter", tillade Luttwak.

Säkerhetsexperter oroar sig också för att ondskefulla aktörer kan utnyttja dessa läckta databaser för att tränga djupare in i DeepSeeks system, köra skadlig kod för att stjäla användarinformation eller manipulera svaren som detta AI-verktyg ger användarna.

”Det är chockerande ur ett säkerhetsperspektiv att bygga en AI-modell och lämna bakdörren vidöppen”, kommenterade Jeremiah Fowler, en oberoende säkerhetsforskare, efter att ha läst rapporten som publicerades av Wiz.

"Det betyder att vem som helst med en internetanslutning kan komma åt och sedan manipulera detta AI-verktyg, vilket utgör en enorm risk för organisationer och användare", tillade Fowler.

Det är fortfarande oklart om några ondskefulla aktörer har utnyttjat den läckta känsliga informationen från DeepSeek för att genomföra mörka system.

Wiz säkerhetsexperter har försökt kontakta DeepSeek för att informera dem om sina fynd.

DeepSeek förblev tyst och svarade inte. Mer än en halvtimme efter att rapporten skickades via e-post fann dock Wiz-experter att den läckta informationen i DeepSeeks källkod inte längre var tillgänglig, vilket innebar att DeepSeek hade ingripit för att hantera problemet.

DeepSeek är en startup som grundades 2023 av Luong Van Phong. Företaget har sitt huvudkontor i Hangzhou, Kina.

Den 20 januari släppte DeepSeek ett AI-verktyg som heter R1 till användare. Detta verktyg "orsakade omedelbart feber" globalt tack vare sin snabba och imponerande responsförmåga.

Många användare bedömer också DeepSeek R1 som smartare, mer exakta och snabbare svar än andra AI-verktyg som ChatGPT, Gemini eller Llama...

Det som gör DeepSeek mest förvånande är att denna AI-modell bara kostade 5,6 miljoner dollar att bygga och driva, medan amerikanska teknikföretag spenderar hundratals, till och med miljarder dollar på att utveckla och driva sina egna AI-modeller.

En annan punkt som gör att DeepSeek drar till sig teknikvärldens uppmärksamhet är att detta AI-verktyg föddes och utvecklades vid en tidpunkt då den amerikanska regeringen tillämpade sanktioner och förhindrade leverans av högpresterande AI-chips till kinesiska företag.

Det betyder att DeepSeek utvecklades och körs på lågpresterande AI-chips, men fortfarande visar imponerande kraft.

Framväxten av DeepSeek lovar att skapa en hård kapplöpning inom AI-utveckling mellan de två supermakterna USA och Kina.

Men förutom den stora uppskattningen är många oroliga för att DeepSeek är ett verktyg för Pekings regering för att samla in användarinformation genom frågor eller ge svar som är gynnsamma för kinesisk politik.