Yapay zeka (YZ) sektöründeki hızla gelişen olaylar, DeepSeek adlı YZ girişiminden kaynaklanan devasa bir veri sızıntısıyla yeni bir güvenlik endişesi doğurdu.
Wiz adlı siber güvenlik araştırma şirketi, Çin merkezli DeepSeek’in güvenliğinde büyük bir eksiklik tespit etti. DeepSeek, popüler DeepSeek-R1 YZ modeline sahip bir şirket. Şirketin, bir ClickHouse veritabanını güvenlik önlemleri alınmadan bıraktığı anlaşıldı; bu da ciddi sonuçlar doğurabilecek bir hata olarak değerlendirildi.
Veritabanında bir milyondan fazla günlük kaydı bulunuyordu ve bu veriler arasında sohbet geçmişleri, gizli anahtarlar ve arka uç detayları yer alıyordu. Durumun daha da kötü yanı, bu veritabanı tam yönetici erişimi sağlıyordu ve kimlik doğrulama gerekmiyordu, bu da potansiyel saldırganlar için büyük bir fırsat sunuyordu.
Veri Sızıntısının Keşfedilme Şekli
Wiz’in araştırma ekibi, DeepSeek’in dış güvenliğini analiz ederken bu problemi fark etti. İlk olarak DeepSeek’in internete açık alanlarını haritalandırarak başladı ve çoğu zarar vermeyen birkaç alt alan adı buldu.
Ancak, daha derin bir inceleme 8123 ve 9000 numaralı iki alışılmadık açık porta ulaştı; bu portlar kamuya açık ClickHouse veritabanı örnekleriyle bağlantılıydı. Bu örnekler tamamen korunmasızdı ve herhangi bir kimlik doğrulaması olmadan veriye erişim ve veri manipülasyonu yapılmasına olanak sağlıyordu.
Wiz araştırmacıları, ClickHouse’un yerleşik web arayüzü aracılığıyla basit SQL sorguları kullanarak “log_stream” adında bir tablo buldu. Bu tablo, hassas bilgileri içeren geniş kapsamlı günlükler içeriyordu. Günlükler, zaman damgaları, DeepSeek iç API uç noktalarına referanslar ve hatta metin halinde sohbet mesajları gibi detaylar içeriyordu.
Bu gibi kısıtlama olmaksızın erişim, saldırganların şifreleri, yerel dosyaları ve sahip olduğu verileri çıkarmasına olanak tanıyordu. Bu açık hızla kapatılmış olsa da, DeepSeek’in altyapısı ve hızlı büyümesine bağlı riskler hakkında önemli endişeler doğurdu.
DeepSeek’in Hızlı Yükselişi ve Güvenlik Endişeleri
DeepSeek’in yaşadığı veri sızıntısı, şirket için kritik bir dönemde gerçekleşti. Güvenlik açığına rağmen, YZ girişimi, ABD App Store’u ve diğer birçok ülkede önemli bir başarı yakaladı.
Şirketin bu hızlı başarısının arkasında, yüksek kaliteli YZ yanıtları sunabilmesi ve bunu Batı rakipleri olan OpenAI’nin ChatGPT’sine göre çok daha düşük maliyetle gerçekleştirebilmesi yatıyor. Ancak, bu büyümeyi sağlayan altyapı aynı zamanda güvenlik açıklarına da neden olmuş gibi görünüyor.
ABD hükümetinin Huawei ve TikTok gibi Çin teknoloji firmalarına getirdiği kısıtlamalar göz önüne alındığında, DeepSeek’in veri güvenliği konusundaki endişelerin devam etmesi halinde düzenleyici engellerle karşılaşabileceği düşünülüyor.
