資安公司：DeepSeek大量敏感資料暴露於網路

總部位於紐約的資訊安全公司Wiz於1月29日表示，它發現中國人工智慧初創公司DeepSeek的大量敏感資料無意中暴露在開放的網路上。

在1月29日發表的一篇部落格文章中，Wiz表示，隨著DeepSeek在AI領域掀起波瀾，Wiz研究團隊著手評估其外部安全態勢並識別任何潛在漏洞。幾分鐘內，Wiz發現一個可公開訪問的ClickHouse數據庫連接到DeepSeek，完全開放且未經身分驗證，暴露了敏感資料。

Wiz文章說，該數據庫包含大量聊天紀錄、後端數據和敏感資料，包括日誌流、API機密和操作詳細資料。

更糟糕的是，Wiz說，這種暴露允許完全控制數據庫，並在DeepSeek環境中進行潛在權限提升，而無需任何身分驗證或外部訪問障礙。

這意味著，人們可以從公共網路上訪問與線上DeepSeek聊天機器人的對話，以及更多數據，而無需密碼。

Wiz表示，對DeepSeek基礎設施的掃描顯示，該公司無意中留下了超過一百萬行未受保護的數據。這些數據包括數字軟件密鑰和聊天紀錄，似乎記錄了用戶向該公司免費AI助手發送的提示。

Wiz聯合創辦人魯瓦克（Ami Luttwak）表示，DeepSeek在Wiz警告他們後迅速修復了這個問題。

「他們在不到一小時內就把它刪除了。」魯瓦克說，「但這個數據很容易找到，我們相信我們並不是唯一發現它的人。」

DeepSeek上週推出一款免費人工智慧助手。1月27日，因其低成本，DeepSeek應用在蘋果商店下載量已超過美國競爭對手ChatGPT，引發科技股拋售。

義大利監管機構Garante於28日表示，希望了解DeepSeek收集了哪些個人資料、從哪裡來源收集、出於何種目的收集、基於何種法律依據，以及數據是否儲存在中國等資料。它給了DeepSeek及其附屬公司20天時間做出回應。

澳洲工業暨科學部長休斯奇（Ed Husic）28日對DeepSeek的數據隱私管理表達了擔憂，並敦促澳洲用戶在下載時三思。

他對澳廣表示，「有許多關於品質、消費者偏好、資料與隱私管理的問題需要及時解答。我會對此非常謹慎。這類問題需要仔細權衡。」他表示，在用戶隱私和數據管理方面，中國公司有時與西方競爭對手有所不同。

愛爾蘭監管機構29日也在一份聲明中表示：「數據保護委員會（DPC）已致函DeepSeek，要求其提供有關在愛爾蘭對數據主體進行的數據處理資料。」