Critical vulnerabilities doesn’t have to be complex or have a CVE - deepseek publicly exposed their internal ClickHouse database to the world, without any authentication at all, and leaked sensitive data.
关键漏洞不一定复杂,也不一定需要有一个CVE编号。
deepseek公开暴露了他们的内部ClickHouse数据库,且***没有任何身份验证***,导致敏感数据泄露。
Wiz Research 发现了一个公开可访问的 ClickHouse 数据库,该数据库属于 DeepSeek,允许对数据库操作进行完全控制,包括访问内部数据的能力。此次暴露的数据包含超过一百万行的日志流,涉及聊天记录、密钥、后端细节以及其他高度敏感的信息。Wiz Research 团队立即并负责任地向 DeepSeek 披露了这一问题,DeepSeek 迅速采取了措施,修复了这一暴露问题。
DeepSeek 是一家中国人工智能初创公司,最近因其突破性的人工智能模型(尤其是 DeepSeek-R1 推理模型)而获得了大量媒体关注。该模型在性能上可与 OpenAI 的 o1 等领先的人工智能系统相媲美,并以其成本效益和高效性脱颖而出。
随着 DeepSeek 在人工智能领域掀起波澜,Wiz Research 团队着手评估其外部安全状况,并识别任何潜在的漏洞。
在几分钟内,Wiz Research 发现了一个与 DeepSeek 相关的公开可访问的 ClickHouse 数据库,该数据库完全开放且未经身份验证,暴露了大量敏感数据。该数据库托管在 oauth2callback.deepseek.com:90
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
