Deepseek, l'IA qui a surpris le monde avec sa productivité, est maintenant examiné pour le stockage de données non protégées dans les bases de données accessibles au public. La fuite de données pose une question sur tous les agents de l'IA qui ont rapidement adopté le modèle de langue.
Quelques jours seulement après avoir gagné en popularité, Deepseek a été exposé comme risque, divulguant des journaux de données dans une base de données Clickhouse accessible au public et non protégé. Les données exposées contenaient des journaux de chat et des informations d'utilisateur sensibles et peuvent exposer les comptes et les mots de passe. Clickhouse, un outil de base de données d'analyse de la société informatique russe Yandex, a été utilisé pour transporter le trafic sans protection supplémentaire.
Les données de chat divulguées peuvent contenir des mots de passe et des fichiers locaux, bien que les chercheurs de la société de cybersécurité Wiz n'ont pas fait de requêtes pour des informations potentiellement sensibles. Il est possible que la base de données contenait des clés secrètes API. Dans l'ensemble, plus de 1 million de données de données ont été découvertes par les chercheurs après que trac King toutes les connexions ouverte lors d'une session Deepseek.
À partir de ce point - valider l'exposition était assez simple, en regardant l'API Clickhouse - nous avons pu accéder à l'API HTTP qui permet de remettre en question la base de données MySQL
Il y a eu une exposition significative des données, en particulier à partir du tableau Log_stream, sur… pic.twitter.com/nhs2gyfbpj
- Nagli (@galnagli) 29 janvier 2025
La fuite a été découverte après tracKing l'interface de chat principale, découvrant jusqu'à 30 sous-domaines qui ont effectué des tâches techniques principalement inoffensives pour l'outil d'IA. Une fois les tests de vulnérabilité terminés, certaines des bases de données les plus controversées sont désormais protégées et inaccessibles.
L'équipe de Deepseek a tendu la main après les tests, déclarant qu'aucune des découvertes n'a été rendue publique avant de réparer la sécurité. Cependant, quelques heures avant que la fuite de la base de données ne soit devenue publique, un autre utilisateur anonyme X a souligné un problème avec des bases de données non garanties, qui à l'époque étaient considérées comme une tentative d'appât ou d'arnaque.
À ce stade, on ne sait pas si d'autres acteurs de menace ont trouvé quelque chose de valeur dans les données. Cependant, la collecte de données à partir des chats d'IA souligne également la perte potentielle de confidentialité lors de l'utilisation de l'outil. Il y a plusieurs points de terminaison pour s'engager avec Deepseek, de son site officiel et de son application à l'hébergement local ou à tout autre emballage utilisé avec le LLM et le moteur de raisonnement.
La fuite profonde affectera-t-elle les agents de l'IA?
Les modèles de langue peuvent être utilisés avec plus d'intimité en les exécutant localement, pour lesquels Deepseek est bien adapté. Chaque nouvelle personnalité de l'agent d'IA a ses propres outils pour envelopper le modèle de langue et le présenter aux utilisateurs.
Venise.ai, l'un des agents de l'IA les plus éminents, prétend offrir maximum dedent. Cependant, les utilisateurs ont découvert que Venise.ai envoie également des données de texte brut à ses serveurs centraux, mais au moins n'utilisant pas d'outils supplémentaires sur le public.
Contrairement à leur affirmation, il n'y a pas d'IA privée dans https://t.co/br5ifvddvi
Toutes les demandes d'inférence vont à leur serveur central en texte brut, en cryptage zéro ou en confidentialité.
Tous les tampons reçus sont également en texte brut.
Vérifiez-le vous-même en vérifiant l'onglet réseau dans Chrome. pic.twitter.com/wdrxog6e5o
- Smit (@ 0xsmit) 27 janvier 2025
L'approche de Venise.ai est encore relativement plusdentpar rapport à la fuite de données profondes.
De plus, Venise.ai répondrait à certaines requêtes sans la censure habituellement imposée sur le site centralisé Deepseek. Bien qu'il en soit encore à ses débuts, il a l'intention de devenir une plaque tournante pour construire des agents d'IA supplémentaires en fournissant le modèle et les ressources linguistiques.
La précipitation pour créer plus d'agents utilisant Deepseek peut être un vecteur qui propage d'autres risques inconnus du modèle de langue et du moteur de raisonnement. Presque toutes les heures, de nouveaux agents sont annoncés, prétendant utiliser les capacités de Deepseek pour un meilleur contenu à moindre coût.
Deepseek se heurte à l'éthique de cryptographie «Made in USA»
La construction d'agents d'IA et les tokenisant tout en s'appuyant sur Deepseek est considéré comme un risque inhérent d'utiliser un modèle de langage relativement nouveau et non testé. Deepseek est devenu l'application la plus téléchargée ces derniers jours, mais la communauté cryptographique a appelé à la prudence lors de l'utilisation de ce LLM pour créer des produits.
La vue la plus extrême considère le modèle Deepseek comme intrinsèquement risqué, même lorsqu'il est utilisé comme un LLM auto-hébergé.
L'auto-hébergement Deepseek ou l'utiliser sur des serveurs américains comme @perplexity ne vous protégera pas pleinement…
L'élimination de leurs chèques de modération (censure) qui se produisent après la génération ou l'élimination de la collecte de données (par l'auto-hébergement sur les serveurs américains) ne vous protège pas des autres LLM… pic.twitter.com/dxsdsqtsaa
- Ryan !! (@ryan_trat) 30 janvier 2025
Les jetons liés aux agents de l'IA sont toujours considérés comme risqués et plus proches du battage médiatique pour les mèmes, actuellement ne sont pas considérés comme des actifs graves à inclure dans la tendance cryptographique `` Made in USA ''.
Cependant, l'utilisation de Deepseek peut disqualifier les projets et augmenter le scepticisme concernant leurs capacités de collecte de données et le potentiel de transport de logiciels malveillants. Les agents construits avec Deepseek peuvent publier des informations imparfaits ou se comporter de manière erratique.
Un utilisateur X a posté:
«Les agents construits avec Deepseek sont les agents du chaos parfaits: les boucles dans l'infini, vous nourrissent de données indésirables et vous emmène (et leur compte X) à la place.»
D'autres partisans généraux de la crypto ont mis en garde contre les profondeurs avec Deepseek à ce stade, en particulier grâce à l'application officielle. Même quelques jours avant la fuite de données, les analystes de la cybersécurité ont mis en garde contre d'éventuelles caractéristiques d'espionnage, car Deepseek est lié au Parti communiste chinois par le biais de son fondateur, Liang Wengfeng.
Après l'interdiction de Tiktok aux États-Unis par crainte de collecte de données, l'adoption rapide de Deepseek a été considérée comme une menace similaire à la sécurité des données.
Clai de différence de fil : l'outil secret que les projets de crypto utilisent pour obtenir une couverture médiatique garantie
