DeepSeek, một phần mềm AI có nguồn gốc từ Trung Quốc, đã nhanh chóng gây sốt trên toàn cầu nhờ khả năng phản hồi thông minh và ấn tượng. Tuy nhiên, sự nổi tiếng này vừa vấp phải một sự cố đáng báo động khi các nhà nghiên cứu bảo mật phát hiện ra những lỗ hổng nghiêm trọng trong mã nguồn của nó.
Điều đáng nói là DeepSeek được phát triển dưới dạng mã nguồn mở, cho phép cộng đồng đóng góp và các nhà phát triển nhúng vào sản phẩm của mình, nhưng chính điều này lại vô tình mở ra cánh cửa cho những rủi ro bảo mật tiềm ẩn.
Trong bối cảnh DeepSeek đang thu hút sự chú ý của dư luận, các chuyên gia bảo mật của công ty Wiz (Mỹ) đã tiến hành kiểm tra kỹ lưỡng mã nguồn mở của nó. Kết quả là họ phát hiện ra một sự thật đáng kinh ngạc, DeepSeek để lộ hàng loạt cơ sở dữ liệu quan trọng.
Những dữ liệu này bao gồm nhật ký hệ thống, nội dung các câu lệnh của người dùng, và thậm chí cả các mã token xác thực API – chìa khóa để truy cập vào các giao diện lập trình của DeepSeek. Điều đáng lo ngại hơn là hơn 1 triệu bản ghi dữ liệu này có thể bị người ngoài truy cập một cách dễ dàng, chỉ bằng một vài kỹ thuật khai thác mã nguồn đơn giản, chứ không cần phải xâm nhập sâu hay sử dụng các biện pháp phức tạp.
Theo Ami Luttwak, Giám đốc Công nghệ của Wiz, đây là một sai lầm nghiêm trọng, thể hiện mức độ bảo mật quá thấp của DeepSeek. Việc truy cập dễ dàng vào các dữ liệu nhạy cảm cho thấy người dùng không nên cung cấp bất kỳ thông tin quan trọng nào cho công cụ này. Các chuyên gia cũng lo ngại rằng những kẻ xấu có thể lợi dụng các dữ liệu bị rò rỉ này để xâm nhập sâu hơn vào hệ thống của DeepSeek, thực thi mã độc, chiếm đoạt thông tin người dùng hoặc thậm chí là định hướng các câu trả lời của AI.
Hiện tại, chưa có bằng chứng cho thấy đã có kẻ xấu nào lợi dụng những lỗ hổng này để thực hiện các hành vi phạm pháp. Tuy nhiên, Wiz đã cố gắng liên lạc với DeepSeek để cảnh báo về phát hiện của mình. Ban đầu, DeepSeek giữ im lặng, nhưng chỉ khoảng nửa giờ sau khi báo cáo được gửi đi, các chuyên gia của Wiz phát hiện ra rằng những dữ liệu bị rò rỉ đã không còn truy cập được, cho thấy DeepSeek đã có động thái can thiệp để xử lý sự cố.
DeepSeek là một công ty khởi nghiệp được thành lập vào năm 2023 bởi Lương Văn Phong, có trụ sở tại Hàng Châu, Trung Quốc. Vào ngày 20/1, DeepSeek đã cho ra mắt công cụ AI R1, nhanh chóng nhận được sự quan tâm lớn trên toàn cầu nhờ khả năng phản hồi nhanh nhạy và ấn tượng. Nhiều người dùng nhận thấy DeepSeek R1 thậm chí còn đưa ra câu trả lời thông minh, chính xác và nhanh hơn so với các đối thủ như ChatGPT, Gemini hay Llama.
#DeepSeek
Điều đáng nói là DeepSeek được phát triển dưới dạng mã nguồn mở, cho phép cộng đồng đóng góp và các nhà phát triển nhúng vào sản phẩm của mình, nhưng chính điều này lại vô tình mở ra cánh cửa cho những rủi ro bảo mật tiềm ẩn.
Trong bối cảnh DeepSeek đang thu hút sự chú ý của dư luận, các chuyên gia bảo mật của công ty Wiz (Mỹ) đã tiến hành kiểm tra kỹ lưỡng mã nguồn mở của nó. Kết quả là họ phát hiện ra một sự thật đáng kinh ngạc, DeepSeek để lộ hàng loạt cơ sở dữ liệu quan trọng.
Những dữ liệu này bao gồm nhật ký hệ thống, nội dung các câu lệnh của người dùng, và thậm chí cả các mã token xác thực API – chìa khóa để truy cập vào các giao diện lập trình của DeepSeek. Điều đáng lo ngại hơn là hơn 1 triệu bản ghi dữ liệu này có thể bị người ngoài truy cập một cách dễ dàng, chỉ bằng một vài kỹ thuật khai thác mã nguồn đơn giản, chứ không cần phải xâm nhập sâu hay sử dụng các biện pháp phức tạp.
Theo Ami Luttwak, Giám đốc Công nghệ của Wiz, đây là một sai lầm nghiêm trọng, thể hiện mức độ bảo mật quá thấp của DeepSeek. Việc truy cập dễ dàng vào các dữ liệu nhạy cảm cho thấy người dùng không nên cung cấp bất kỳ thông tin quan trọng nào cho công cụ này. Các chuyên gia cũng lo ngại rằng những kẻ xấu có thể lợi dụng các dữ liệu bị rò rỉ này để xâm nhập sâu hơn vào hệ thống của DeepSeek, thực thi mã độc, chiếm đoạt thông tin người dùng hoặc thậm chí là định hướng các câu trả lời của AI.
Hiện tại, chưa có bằng chứng cho thấy đã có kẻ xấu nào lợi dụng những lỗ hổng này để thực hiện các hành vi phạm pháp. Tuy nhiên, Wiz đã cố gắng liên lạc với DeepSeek để cảnh báo về phát hiện của mình. Ban đầu, DeepSeek giữ im lặng, nhưng chỉ khoảng nửa giờ sau khi báo cáo được gửi đi, các chuyên gia của Wiz phát hiện ra rằng những dữ liệu bị rò rỉ đã không còn truy cập được, cho thấy DeepSeek đã có động thái can thiệp để xử lý sự cố.
DeepSeek là một công ty khởi nghiệp được thành lập vào năm 2023 bởi Lương Văn Phong, có trụ sở tại Hàng Châu, Trung Quốc. Vào ngày 20/1, DeepSeek đã cho ra mắt công cụ AI R1, nhanh chóng nhận được sự quan tâm lớn trên toàn cầu nhờ khả năng phản hồi nhanh nhạy và ấn tượng. Nhiều người dùng nhận thấy DeepSeek R1 thậm chí còn đưa ra câu trả lời thông minh, chính xác và nhanh hơn so với các đối thủ như ChatGPT, Gemini hay Llama.
#DeepSeek
