- Katılım
- Ocak 16, 2025
- Mesajlar
- 209,941
- Tepkime puanı
- 0
Çin merkezli yapay zeka şirketi DeepSeek, kullanıcı sohbet geçmişleri, API anahtarları ve sistem günlüklerini içeren bir veritabanını korumasız bir şekilde erişime açık bıraktı. Wiz güvenlik firması, kimlik doğrulama gerektirmeyen bu veritabanına dakikalar içinde erişim sağladı.
DeepSeek'in açık kalan veritabanında 1 milyondan fazla log kaydı yer alıyordu. Bu kayıtlar, kullanıcı sohbet geçmişlerini, API kimlik doğrulama anahtarlarını ve sistem günlüklerini içeriyordu. Güvenlik uzmanları, bu tür bir açığın kötü niyetli kişilere tam erişim ve yetki yükseltme imkanı tanıyabileceğini belirtti. Eğer bu açık fark edilip istismar edilmiş olsaydı, DeepSeek'in iç sistemlerine sızmak ve hassas verilere erişmek mümkün olabilirdi.
Wiz araştırmacıları, DeepSeek’in ClickHouse adlı açık kaynaklı veri yönetim sistemini kullandığını belirtti. Bu sistemde yapılan yanlış konfigürasyonlar nedeniyle veriler herkese açık hale gelmiş ve kimlik doğrulama gerektirmeden erişilebilir olmuştu.
Güvenlik açığı Wiz tarafından rapor edildikten sonra, DeepSeek hızla harekete geçerek veritabanını güvence altına aldı. Ancak, bu süreçte yetkisiz erişim olup olmadığı belirsiz. Güvenlik uzmanları, bu kadar basit bir açığın keşfedilmiş olmasının önceden fark edilmiş olabileceğini ve kötü amaçlı kişiler tarafından istismar edilmiş olabileceğini belirtiyor.
DeepSeek, olayla ilgili resmi bir açıklama yapmazken, güvenlik ihlalinin şirketin veri politikaları açısından ciddi bir ihmal olduğu düşünülüyor. Bu durum, özellikle yapay zeka sistemleri için veri güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor.
Bu güvenlik açığı, OpenAI’nin DeepSeek’i izinsiz veri kullanımıyla suçlamasından sadece birkaç gün sonra ortaya çıktı. Wiz’in araştırmasına göre, DeepSeek’in altyapısı OpenAI’ye oldukça benziyor ve API anahtarlarının formatı bile büyük ölçüde aynı.
Bu benzerlik, DeepSeek’in OpenAI’ye ait verileri kullanarak kendi modellerini eğittiği yönündeki iddiaları güçlendiriyor. OpenAI kısa süre önce DeepSeek’in verilerini izinsiz olarak kullandığını iddia etmiş, bu konuda hukuki adımlar atabileceğinin sinyallerini vermişti.
Bu olay, yapay zeka şirketlerinin veri güvenliği konusunda daha fazla önlem alması gerektiğini gösteriyor. Özellikle API anahtarları gibi hassas bilgiler, ileri düzey şifreleme ve kimlik doğrulama yöntemleriyle korunmalı. Siber güvenlik uzmanları, bu tür olayların yalnızca DeepSeek ile sınırlı olmadığını, yapay zeka sektöründe genel bir güvenlik sorunu haline geldiğini belirtiyor.
Sızıntının Kapsamı ve Riskler
DeepSeek'in açık kalan veritabanında 1 milyondan fazla log kaydı yer alıyordu. Bu kayıtlar, kullanıcı sohbet geçmişlerini, API kimlik doğrulama anahtarlarını ve sistem günlüklerini içeriyordu. Güvenlik uzmanları, bu tür bir açığın kötü niyetli kişilere tam erişim ve yetki yükseltme imkanı tanıyabileceğini belirtti. Eğer bu açık fark edilip istismar edilmiş olsaydı, DeepSeek'in iç sistemlerine sızmak ve hassas verilere erişmek mümkün olabilirdi.
Wiz araştırmacıları, DeepSeek’in ClickHouse adlı açık kaynaklı veri yönetim sistemini kullandığını belirtti. Bu sistemde yapılan yanlış konfigürasyonlar nedeniyle veriler herkese açık hale gelmiş ve kimlik doğrulama gerektirmeden erişilebilir olmuştu.
DeepSeek’in Müdahalesi ve Belirsizlikler
Güvenlik açığı Wiz tarafından rapor edildikten sonra, DeepSeek hızla harekete geçerek veritabanını güvence altına aldı. Ancak, bu süreçte yetkisiz erişim olup olmadığı belirsiz. Güvenlik uzmanları, bu kadar basit bir açığın keşfedilmiş olmasının önceden fark edilmiş olabileceğini ve kötü amaçlı kişiler tarafından istismar edilmiş olabileceğini belirtiyor.
DeepSeek, olayla ilgili resmi bir açıklama yapmazken, güvenlik ihlalinin şirketin veri politikaları açısından ciddi bir ihmal olduğu düşünülüyor. Bu durum, özellikle yapay zeka sistemleri için veri güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor.
OpenAI ile Olası Bağlantı
Bu güvenlik açığı, OpenAI’nin DeepSeek’i izinsiz veri kullanımıyla suçlamasından sadece birkaç gün sonra ortaya çıktı. Wiz’in araştırmasına göre, DeepSeek’in altyapısı OpenAI’ye oldukça benziyor ve API anahtarlarının formatı bile büyük ölçüde aynı.
Bu benzerlik, DeepSeek’in OpenAI’ye ait verileri kullanarak kendi modellerini eğittiği yönündeki iddiaları güçlendiriyor. OpenAI kısa süre önce DeepSeek’in verilerini izinsiz olarak kullandığını iddia etmiş, bu konuda hukuki adımlar atabileceğinin sinyallerini vermişti.
Yapay Zeka Güvenliği İçin Önemli Bir Uyarı
Bu olay, yapay zeka şirketlerinin veri güvenliği konusunda daha fazla önlem alması gerektiğini gösteriyor. Özellikle API anahtarları gibi hassas bilgiler, ileri düzey şifreleme ve kimlik doğrulama yöntemleriyle korunmalı. Siber güvenlik uzmanları, bu tür olayların yalnızca DeepSeek ile sınırlı olmadığını, yapay zeka sektöründe genel bir güvenlik sorunu haline geldiğini belirtiyor.