Un database accessibile al pubblico appartenente a DeepSeek consentiva l'accesso a dati interni. E' una falla scoperta da ricercatori della società di sicurezza con sede a New York, Wiz, riguardo il software di Intelligenza artificiale che ha riacceso la corsa nel settore. Il bug è stato corretto dopo la segnalazione all'azienda cinese, ma non è noto se i dati sono finiti nelle mani dei cybercriminali.
I ricercatori hanno individuato un database che si chiama ClickHouse, collegato a DeepSeek, accessibile da remoto senza autenticazione. Conteneva oltre un milione di informazioni sulla cronologia delle chat, informazioni sull'accesso e sulle Api, i programmi usati dagli sviluppatori. La vulnerabilità potrebbe essere stata sfruttata per ottenere privilegi all'interno dell'ambiente di DeepSeek senza nessuna autenticazione o meccanismo di difesa. Attraverso l'interfaccia di ClickHouse era possibile anche esfiltrare password e file direttamente dal server.
"Man mano che l'intelligenza artificiale diventa profondamente integrata nelle aziende di tutto il mondo, il settore deve riconoscere i rischi legati alla gestione dei dati sensibili e applicare pratiche di sicurezza alla pari di quelle richieste ai fornitori di cloud pubblici e ai principali fornitori di infrastrutture", sottolineano i ricercatori.
Riproduzione riservata © Copyright ANSA
