网安公司：DeepSeek敏感资料暴露在网上

周三（1月29日）总部位于纽约的网络安全公司Wiz表示，它发现中国人工智能初创公司 DeepSeek的大量敏感数据无意中暴露在开放的互联网上。

在周三发表的一篇博客文章中，Wiz表示，随着DeepSeek在AI领域掀起波澜，Wiz研究团队着手评估其外部安全态势并识别任何潜在漏洞。几分钟内，Wiz发现一个可公开访问的ClickHouse数据库链接到DeepSeek，完全开放且未经身份验证，暴露了敏感数据。

Wiz文章说，该数据库包含大量聊天纪录、后端数据和敏感信息，包括日志流、API机密和操作详细信息。

更糟糕的是，Wiz说，这种暴露允许完全控制数据库，并在DeepSeek环境中进行潜在权限提升，而无需任何身份验证或外部访问障碍。

这意味着，人们可以从公共互联网上访问与在线DeepSeek聊天机器人的对话，以及更多数据，而无需密码。

Wiz表示，对DeepSeek基础设施的扫描显示，该公司无意中留下了超过一百万行未受保护的数据。这些数据包括数字软件密钥和聊天纪录，似乎记录了用户向该公司免费AI助手发送的提示。

Wiz首席技术官阿米‧勒特韦克（Ami Luttwak）表示，DeepSeek在Wiz警告他们后迅速修复了这个问题。

“他们在不到一小时内就把它删除了。”勒特韦克说，“但这个数据很容易找到，我们相信我们并不是唯一发现它的人。”

DeepSeek上周推出一款免费人工智能助手。本周一，因其低成本，DeepSeek应用在苹果商店下载量已超过美国竞争对手ChatGPT，引发科技股抛售。