بعد أيام فقط من شهرته، ثغرة تهدد بيانات ملايين مستخدمي روبوت المحادثة DeepSeek
⬤ اكتشف باحثو شركة الأمن السحابي Wiz ثغرةً تهدد خصوصية بيانات مستخدمي روبوت المحادثة DeepSeek.
⬤ يمكن أن تؤدي ثغرة الباب الخلفي لتسهيل الهجمات على أنظمة DeepSeek بدون مصادقة أو آلية دفاع خارجية.
⬤ اكتشف الباحثون طريقة عمل نماذج DeepSeek وتشابه بنيتها التحتية مع تلك الخاصة بشركة OpenAI.
أحدث روبوت المحادثة الصيني DeepSeek ضجةً في مجال الذكاء الاصطناعي منذ إطلاقه، نظراً للقدرات الهائلة لنموذج R1، والذي ينافس نموذج GPT-4o1 الخاص بروبوت المحادثة ChatGPT من OpenAI. ومع ذلك، تواجه DeepSeek مشكلةً متعلقةً بخصوصية البيانات على ما يبدو.
أثناء استكشاف الباب الخلفي لقواعد بيانات النموذج مفتوح المصدر، تمكن باحثو شركة الأمن السحابي الأمريكية Wiz من للوصول لمجموعة من البيانات الداخلية غير المشفرة «خلال دقائق»، مما يعرض خصوصية المستخدمين للخطر.
أوضحت شركة Wiz في مدونتها طبيعة الثغرة، قائلةً: «تضمنت قاعدة البيانات هذه كماً كبيراً من سجلات المحادثة، وبيانات الباب الخلفي، والمعلومات الحساسة، بما يشمل تدفقات السجل، وأسرار واجهة برمجة التطبيقات، والتفاصيل التشغيلية.»
وفق الباحثين، يمكن أن يؤدي الباب الخلفي المفتوح على مصراعيه لروبوت المحادثة مفتوح المصدر لتسهيل الهجمات على أنظمة DeepSeek «بدون أي مصادقة أو آلية دفاع للعالم الخارجي»، مضيفين أن الشركة الصينية الناشئة اتخذت إجراءً فورياً لتأمين قواعد بياناتها بمجرد تحذيرها.
أفادت Wiz لموقع Wired أنها واجهت صعوبةً في التواصل مع DeepSeek، ولم يكن بوسعها سوى مراسلة موظفي الأخيرة عبر منصة LinkedIn وعناوين البريد الإلكتروني الخاصة بحسابات الشركة، ورغم امتناع DeepSeek عن الرد، إلا أنها استجابت وأغلقت قاعدة البيانات خلال ساعة.
قال نير أوفيلد، رئيس أبحاث الثغرات بشركة Wiz: «عادةً ما نجد هذا النوع من الثغرات من خلال خدمات مهملة تستغرق ساعات من الفحص»، مضيفاً أنه مع DeepSeek، كانت هذه المشكلات الأمنية الواضحة «عند الباب الأمامي مباشرةً».
يُجدر بالذكر أن باحثي Wiz اكتشفوا الكثير عن طريقة عمل نماذج DeepSeek، بما يشمل تشابه البنية التحتية مع تلك الخاصة بشركة OpenAI بشكل شبه كامل، بجانب معلومات حساسة عن قواعد البيانات كانت ستؤدي لتهديد سلامة المستخدمين في حال وقعت في الأيدي الخطأ.
