AI企業のDeepSeekが所有するデータベースに誰でもアクセスできる不具合があったことが、セキュリティ企業Wizの調査により明らかになりました。DeepSeekは報告を受けて既に問題を解決しているとのことです。
Wizの調査によると、DeepSeekが運営するClickHouseデータベースが認証なしでアクセス可能であり、機密情報が漏洩するリスクがあることが明らかになりました。このデータベースには、APIキーやチャット履歴などの重要なデータが含まれる「log_stream」テーブルへのアクセスが可能であったため、DeepSeekとそのユーザーにとって深刻な問題となっています。
Wiz Researchは、DeepSeekのデータベースが完全にオープンで認証なしにアクセスできる状態であることを発見しました。このデータベースには、100万行以上のログストリームが含まれており、チャット履歴やAPIシークレット、バックエンドの詳細などが漏洩していました。
このようなセキュリティインシデントは、企業がオープンソース技術を利用する際に、適切なセキュリティ対策を講じる必要性を再認識させるものです。特に、AI技術の発展に伴い、データの保護がますます重要になっています。
DeepSeekは、この問題に対処し、ユーザーのデータを保護するための対策を講じる必要があります。Wizの調査結果は、AI関連のセキュリティインシデントが過去にも報告されていることから、リスク管理の重要性を浮き彫りにしています。企業は、AI技術の導入に際して、セキュリティの強化を図ることが求められています。
Wizは「AIのように急速なペースで採用されるテクノロジーは世界でも例がなく、多くのAI企業は基本的なセキュリティを実装しないまま重要なインフラプロバイダーへと急成長しています。AIのセキュリティ問題では、多くの人が未来的な脅威に注目していますが、本当の危険はデータベースの偶発的な外部露出のような基本的なリスクから生じることが多いです。セキュリティの基本とも言えるこれらのリスクは、セキュリティチームにとって最優先事項であり続けるべきです」と述べました。
Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History | Wiz Blog
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
コメント