Il Trionfo di DeepSeek
DeepSeek si è recentemente distinta nel panorama tecnologico grazie all’innovativo modello deepseek-r1. Questo modello di reasoning si propone come un’alternativa competitiva a giganti come OpenAI, attirando l’attenzione di sviluppatori e accademici, ma c’è un lato oscuro in questa corsa all’innovazione.
Le Vulnerabilità Sprinkle
Wiz Research ha mappato i domini pubblicamente accessibili di DeepSeek, scoprendo circa 30 sottodomini, molti dei quali sembravano innocui. Tuttavia, attraverso l’analisi delle porte di rete aperte, sono state scoperte porte non standard (come 8123 e 9000) che permettevano l’accesso a un database ClickHouse esposto pubblicamente, senza alcun tipo di autenticazione. Questo database, fondamentale per l’analisi di dati, ha mostrato di contenere informazioni riservate, fra cui timestamp e chiavi API.
Implicazioni Critiche per la Sicurezza
La vulnerabilità di DeepSeek pone interrogativi seri sulla sicurezza nel settore dell’intelligenza artificiale. Anche se Wiz Research non ha eseguito query intrusive per motivi etici, l’accesso non autenticato ai dati avrebbe potuto portare a esfiltrazioni di informazioni sensibili. È chiaro: la corsa all’innovazione sta superando le necessità di implementazione delle adeguate misure di sicurezza. È cruciale, ora più che mai, che le aziende del settore AI adottino misure rigide per proteggere i dati degli utenti, integrando la sicurezza in ogni fase del ciclo di vita del prodotto.