Сотрудники американской компании по кибербезопасности Wiz обнаружили в открытом доступе базу данных ClickHouse, связанную с китайским ИИ-стартапом DeepSeek, пишет «Коммерсант» со ссылкой на заявление организации.
Отмечается, что, используя обнаруженные файлы, программисты Wiz получили полный контроль над базой сведений. Информация была размещена на oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000. При этом доступ к ней был полностью открыт.
«Эта база данных содержала значительный объем истории чатов, внутренних данных и конфиденциальной информации, включая потоки журналов, секреты API и эксплуатационные данные», – говорится в сообщении компании. По словам представителей компании, утечку данных удалось обнаружить в течение нескольких минут.
Как пояснил депутат Госдумы, член комитета по информполитике, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин, данные, обрабатываемые генеративным искусственным интеллектом – одни из самых ценных для злоумышленников. «Чат-боты могут обрабатывать конфиденциальную информацию. Речь не только про историю запросов, но, например, и про официальные пользовательские документы, номера телефонов, адреса – особенно в том случае, если чат-бот был внедрен в организациях для решения бизнес-задач. Эксперты прогнозируют, что именно утечки данных из подобных систем в ближайшем будущем станут одной из ключевых угроз для отрасли. Этот тренд начинает прослеживаться уже сейчас», – пояснил депутат.
Осенью прошлого года ИБ-специалисты обнаружили в приложении ChatGPT для macOS уязвимость, которая позволяет собирать конфиденциальную информацию, напомнил парламентарий. «С помощью этой уязвимости злоумышленники устанавливали вредоносное программное обеспечение, которое в том числе может спровоцировать утечки данных. До этого ошибочные действия сотрудников OpenAI также спровоцировали риск утечки», – отметил Немкин.
По словам депутата, в отношении опубликованного в открытом доступе датасета должна быть проведена независимая проверка. «DeepSeek произвел настоящий фурор в сегменте, за считанные часы потеснив лидеров рынка. Последние при этом столкнулись с ощутимыми финансовыми потерями. Поэтому подобные обвинения в адрес DeepSeek вполне могут носить провокационный характер, как минимум потому что база данных находилась в открытом доступе, а не была выставлена на продажу. ИБ-специалистам, конечно, следует провести независимую проверку по факту инцидента, в том числе в самой компании», – отметил депутат.
Немкин подчеркнул, что от утечек сведений сегодня не застрахован никто. «Поэтому важно не передавать конфиденциальные данные сторонним системам, особенно чат-ботам», – считает депутат.