دیتابیس نا امن شرکت دیپ‌سیک پرامپت‌ها و داده‌‌های داخلی را فاش کرد

به گزارش پیوست، پژوهشگران این شرکت امنیتی می‌گویند راه ارتباطی مشخصی برای تماس با شرکت چینی نداشتند و برای اطلاع‌رسانی به تمام آدرس‌های موجود ایمیل ارسال کرده‌اند که البته هنوز پاسخی دریافت نشده است.

با این حال دیتابیسی که شرکت امنیتی Wiz پیدا کرده بود در حال حاضر امکان دسترسی برای کاربران غیرمجاز را مسدود کرده است و مشخص نیست که آیا تبهکاران یا طرفین غیرمجازی تا پیش از این تاریخ به داده‌ها دسترسی پیدا کرده باشند یا خیر.

امنیت بسیار پایین دیتابیس دیپ‌سیک

امی لاتواک، مدیر ارشد فناوری شرکت Wiz، به وایرد گفت: «درست است که چنین اشتباهاتی طبیعی هستند، اما این یک اشتباه بزرگ است، زیرا به تلاش کمی نیاز است و سطح دسترسی که ما پیدا کردیم بسیار بالا بود. می‌توانم بگویم چنین چیزی به این معنا است که این خدمت به هیچ وجه برای استفاده داده‌های حساس بلوغ کافی ندارد.»

مشکل دسترسی غیرمجاز به دیتابیس‌های نا امن یک مساله دیرینه برای موسسات و ارائه دهندگان ابری است که به آرامی برای برطرف کردن آن تلاش می‌کنند اما پژوهشگران Wiz می‌‌گویند این دیتاست با حداقل اسکن یا جستجو قابل مشاهده بود.

نیر اوفلد، رئیس تحقیقات آسیب‌پذیری شرکت Wiz، می‌گوید: «وقتی ما چنین سطح خطری را پیدا می‌کنیم، معمولا مربوط به نوعی خدمت نادیده گرفته شده است که پیدا کردنش چندین ساعت طول می‌کشد و به ساعت‌ها اسکن نیاز دارد.» اما اوفلد می‌گوید که این مورد درست پیش روی آنها بود و «دشواری فنی این آسیب‌پذیری در حداقل ممکن است.»

پژوهشگران می‌گویند داده‌هایی که آنها پیدا کرده‌اند به نظر نوعی دتابیس متن‌باز است که برای تجزیه تحلیل سروری به نام دیتابیس ClickHouse استفاده می‌شود و اطلاعات فاش شده نیز این نظریه را تایید می‌کنند زیرا فایل‌های لاگ حاوی مسیر کاربران در سیستم‌های دیپ‌سیک در آن وجود داشت و همچنین پرامپت و دیگر تعاملات با خدمت را نیز شامل می‌شد. پرامپت‌هایی که پژوهشگران مشاهده کرده‌اند همگی به زبان چینی بودند اما به گفته آنها ممکن است که این دیتاست پرامپت‌های دیگر زبان‌ها را نیز شامل شود. پژوهشگران می‌گویند برای محافظت از حریم خصوصی کاربران، حداقل ارزیابی را به عمل آورده‌اند اما گمان می‌برند کهه ممکن است تبهکاران نیز به چنین سطحی از دسترسی رسیده باشند.

سیستم‌های دیپ‌سیک به تقلید از اوپن‌ای‌آی طراحی شده‌اند

پژوهشگران می‌گویند سیستم‌های دیپ‌سیک به نظر به گونه‌ای طراحی شده‌اند که شبیه به اوپن‌ای‌آی باشند تا مهاجرت کاربران را تسهیل کنند. به گفته آنها تمام زیرساخت دیپ‌سیک به نظر از اوپن‌ای‌آی تقلید می‌کند و حتی فرمت کلید‌های API نیز شبیه به شرکت آمریکایی است.

دیپ‌سیک در هفته‌های اخیر سر و صدای زیادی در صنعت فناوری و بخش هوش مصنوعی به پا کرده است و رقیب ارزان‌قیمت اوپن‌ای‌آی باعث ریزش ارزش سهام شرکت‌های فناوری آمریکا شد. با این حال نگرانی‌های مختلفی نیز درمورد این ابزار مطرح شده است. نهاد‌های آمریکایی به نظر نگران امنیت استفاده از این ابزار هستند و گزارش اخیر CNBC نشان می‌دهد که نیروی دریایی آمریکا به کارکنان هشدار داده است که به هیچ عنوان از خدمات دیپ‌سیک «در هیچ اندازه‌ای» استفاده نکنند و اعضای نیروی دریایی نباید این مدل را دانلود، نصب یا استفاده کنند.

افزون بر این بحث سانسور هوش مصنوعی دیپ‌سیک نیز در این هفته خبر ساز شد و به نظر شرکت چینی محدودیت‌های بسیار زیادی را برای نسخه انگلیسی هوش مصنوعی در نظر گرفته است، به طور که این سیستم تقریبا به هیچ سوالی درمورد شی جین پینگ، رئیس جمهور چین و رهبر حزب کمونیست، پاسخی نمی‌دهد. با این حال بررسی‌های ما نشان می‌دهد که در زبان فارسی چنین محدودیت‌هایی را مشاهده نمی‌کنیم.