DeepSeek, вызвавший споры китайский чат-бот с искусственным интеллектом, больше недоступен для скачивания в Италии и Ирландии. Обе страны удалили приложение из магазинов Apple и Google 29 января, обвинив компанию в уклонении от вопросов об обработке персональных данных и вызвав опасения по поводу доступа китайского правительства к информации пользователей.
Регуляторы оказывают давление на компанию, требуя объяснений, и делают это крайне невежливо. Пользователи в Италии, пытавшиеся загрузить чат-бота, на устройствах Apple получали сообщения типа «в настоящее время недоступно в вашей стране или регионе».
Пользователи Google также получили грубое уведомление «загрузка не поддерживается». Расследование Reuters подтвердило, что DeepSeek исчез из магазина Google. Однако, по данным The Guardian от 29 января, по крайней мере один пользователь Apple все еще имел к нему доступ.
Исчезновение DeepSeek произошло сразу после его стремительного взлета в качестве самого скачиваемого бесплатного приложения в магазине Apple в США и Великобритании. Выпущенное всего неделю назад, оно предлагало производительность ИИ, сравнимую с ChatGPT, но за гораздо меньшую цену. Его быстрый рост вызвал панику, в результате чего за один день с американского фондового рынка обрушилось более 1 триллиона долларов.
Регуляторы требуют ответов по вопросам хранения и доступа к данным
Итальянский орган по защите персональных данных Garante дал компании DeepSeek 20 дней на то, чтобы объяснить, какие персональные данные она собирает, где они хранятся и попадают ли какие-либо из них на территорию Китая. «Наше ведомство начнет углубленное расследование, чтобы выяснить, соблюдаются ли правила GDPR», — заявил глава агентства Паскуале Станционе в интервью итальянскому новостному агентству ANSA 29 января.
Компания Garante требует конкретных сведений — какие данные собираются, на каком правовом основании это разрешено и что делается для защиты пользователей. Если компания не будет сотрудничать, Италия может применить к ней суровые санкции в соответствии с Общим регламентом защиты данных (GDPR) Европы.
Комиссия по защите данных Ирландии также начала собственное расследование. В репортаже The Guardian утверждается, что они запросили подробную информацию о том, как DeepSeek обрабатывает данные, связанные с гражданами Ирландии.
По имеющимся данным, расследование сосредоточено на том, осуществляется ли ненадлежащим образом информация о пользователях или же она отправляется в Китай без надлежащих мер защиты.
Обеспокоенность по поводу конфиденциальности возникла после того, как стало известно, что в политике конфиденциальности DeepSeek открыто говорится о хранении пользовательских данных на «защищенных серверах, расположенных в Китайской Народной Республике». Правительство Великобритании, тем временем, заняло более пассивную позицию.
Британские чиновники заявили, что решение об использовании приложения остается за гражданами. Однако они пообещали оперативно реагировать в случае возникновения серьезных угроз безопасности.
Закон Китая о национальной разведке не способствует снятию опасений. Согласно этому закону, все китайские компании, организации и граждане обязаны оказывать содействие разведывательным службам правительства. Критики считают, что это может вынудить DeepSeek передавать конфиденциальные данные пользователей без предупреждения.
Компания Wiz Research обнаружила полную уязвимость базы данных DeepSeek
В то время как регулирующие органы сосредоточиваются на нарушениях конфиденциальности, исследователи в области безопасности обнаружили еще один кошмар для DeepSeek — открытую базу данных, которая делает пользовательские данные доступными для любого пользователя интернета.
Компания Wiz Research провела расследование цифровой инфраструктуры DeepSeek и утверждает, что обнаружила общедоступную базу данных ClickHouse. В базе данных отсутствовали пароли, система аутентификации и защита.
«В течение нескольких минут мы получили полный доступ к конфиденциальной информации», — заявила команда Wiz. База данных размещалась по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000, оба напрямую связаны с основными системами DeepSeek.
ClickHouse предназначен для высокоскоростной обработки данных и обычно используется для хранения журналов, истории чатов и сведений об операциях на бэкэнде. Однако, согласно отчету Wiz, отсутствие защиты создало серьезную угрозу безопасности.
Какие данные обнаружил Wiz? Огромное количество. База данных содержала историю чатов, секреты API, данные о работе бэкэнда и конфиденциальные потоки логов. Простая команда SHOW TABLES; через веб-интерфейс показала всё.
Хуже того, уязвимость в базе данных не ограничивалась стандартным веб-браузером. Исследователи Wiz обнаружили уязвимость, просканировав нестандартные HTTP-порты — 8123 и 9000, — которые DeepSeek оставил открытыми. Эта ошибка позволила команде получить доступ к базе данных через браузер без каких-либо проблем.
Как будто у DeepSeek и так не хватало проблем, OpenAI обвинила её в краже. Американский гигант в области искусственного интеллекта утверждает, что есть доказательства того, что DeepSeek могла украсть её технологию с помощью метода, называемого дистилляцией. Дистилляция предполагает уменьшение большой, сложной модели ИИ до более компактной и эффективной версии.
«Нам известно, что группы в Китае работают над воспроизведением наших моделей с помощью дистилляции», — заявили в OpenAI. «Мы принимаем решительные контрмеры и тесно сотрудничаем с правительством США для защиты нашей технологии»
