中國人工智慧新創 DeepSeek 近期捲入嚴重的資安爭議,知名雲端安全公司 Wiz 研究團隊揭露,該公司某關鍵資料庫無加密保護直接暴露於網路,恐造成機密資料大規模外洩。
資料庫存取權限形同虛設 Wiz 資安專家 Gal Nagli 指出,DeepSeek 採用 ClickHouse 技術的資料庫存在重大漏洞,任何人都能完全控制數據庫存取權限,甚至可直接操作內部資料。研究人員發現,該外洩資料庫包含:
- 超過百萬筆 聊天紀錄
- API 金鑰與內部密鑰
- 伺服器後端設定資訊
根據 Wiz 分析,該資料庫位於 oauth2callback.deepseek.com:9000 和 dev.deepseek.com:9000,允許未經授權存取。更令人擔憂的是,駭客甚至可透過 ClickHouse HTTP 介面,直接於瀏覽器執行 SQL 查詢,不需任何身份驗證,讓資料處於極度脆弱狀態。目前尚不清楚是否已有駭客趁機竊取或篡改資料。
DeepSeek 迅速應對但資安隱憂仍存
Wiz 於發現漏洞後已通報 DeepSeek。該公司在 1 月 29 日 發布聲明表示,已確認問題並立即進行修復。雖然 DeepSeek 緊急封鎖了外洩資料庫,但這次事件仍突顯 AI 產業對資安議題的忽視。
Nagli 強調:「快速發展 AI 服務,本身就帶來巨大風險,許多企業往往聚焦於 AI 技術競爭,卻忽視最基本的 資安防護。」他補充,大眾通常擔憂 AI 失控或產生倫理問題,但 最直接的危機其實來自企業內部的基本資安漏洞,像是 未加密資料庫意外暴露。
意大利下架 DeepSeek
DeepSeek 近期因開源 AI 模型 迅速走紅,被視為有望與 OpenAI 競爭的中國新創之一,其推理模型 R1 更被業界譽為 「AI 的史普尼克時刻」,意指其技術突破可能對全球 AI 發展帶來顛覆性影響。然而,隨著 DeepSeek 受關注度上升,爭議亦接踵而至:
- 義大利資料保護局:質疑其資料處理方式,導致 DeepSeek 被迫下架應用程式。
- 愛爾蘭資料保護委員會:同樣對 DeepSeek 數據收集行為 提出疑慮。
- 智慧財產權問題:多家媒體報導 OpenAI 和微軟 正調查 DeepSeek 是否
未經授權使用 OpenAI API 訓練自家模型
對此 OpenAI 發言人公開表示:「我們知道中國的一些組織正在積極使用 蒸餾技術 等方法,試圖複製美國的先進 AI 模型。」言下之意,DeepSeek 極可能在技術開發過程中涉及知識產權爭議。
AI 競賽下資安問題成最大隱憂
這起事件再次突顯 AI 企業對資安管理的疏忽,資料外洩不僅衝擊企業聲譽,更可能影響使用者隱私、企業內部機密甚至國際競爭格局。隨著 AI 技術競賽白熱化,企業應當加強資安防護,避免因 基本漏洞 造成難以挽回的損失。這場 AI 軍備競賽,不僅比拼模型運算力,還考驗著企業能否守住 數據安全的最後防線。
