AIスタートアップDeepSeekが運営するチャットサービスで、機密情報が漏洩する可能性が発覚。100万件以上のログが外部から閲覧可能で、Wizが警告。DeepSeekは問題に対処済み。
具体的には、チャット履歴やAPIキー、バックエンドの詳細などを含む100万件以上のログが外部から閲覧できる状態にあったとされています。
この問題は、データベースの脆弱性によって引き起こされたもので、WizはDeepSeekに対し、早急に問題を通知し、DeepSeek側でも対応を済ませたとのことです。
Wizが行った調査によると、DeepSeekの一般にアクセス可能なドメイン内に約30のサブドメインが存在し、その中のデータベース管理システム「ClickHouse」に認証なしでアクセスできることが判明しました。
もし悪意のある攻撃者がこのデータベースにアクセスした場合、直接サーバから機密情報を取得することが可能であり、さらには認証なしでデータベースを制御し、権限を昇格させることもできた可能性があります。
Wizは、AIツールやサービスの導入が進む中で、企業がこれらのスタートアップに機密データを託していることのリスクを警告しています。
DeepSeekは、最近米OpenAIの高性能モデル「o1」と同等の性能を持つ大規模言語モデル「DeepSeek-R1」を発表し、開発コストが非常に低いことから注目を集めていますが、今回のセキュリティ問題はその信頼性に影を落とす事態となっています。
参考リンクhttps://news.yahoo.co.jp/articles/1cbf142c98849e0d5232dd16c0df313e66b817c0
DeepSeekの機密情報漏洩の危機に関するコメントでは、生成AIの導入が進むことで企業間の競争が激化する可能性が指摘されていました。
特に、米中間の対立がますます深刻化しているとの意見が多く、アメリカが中国の技術革新を警戒し、規制や制裁を行っているという見解がありました。
また、過去の日本の半導体産業の経験を踏まえ、中国が同様の道を歩むことはないだろうとの考えも示されていました。
さらに、DeepSeekに対するアメリカの圧力が高まる中で、ネガティブな情報が広がる懸念も語られ、真偽を問わず情報が駆け巡る時代に突入する可能性が示唆されました。
コメントの中には、アメリカがDeepSeekの動向を把握していることを前提にした意見や、イタリアのアプリストアからの削除に関する情報もあり、情報の流通や企業の戦略が今後どう変わるのか注目されていました。
ネットコメントを一部抜粋
今後、多種多様な業種で導入が進むであろう生成AI界においてスタンダードの地位を獲得すればその企業は世界的な地位を築ける可能性が高い。
いろんな意味でもうアメリカに対抗できるのは中国だけですよね。
米はDeepSeekを潰しにかかるでしょうが、製造と違ってアプリが広まるのは早い。
まあ、これはもうアメリカも知っていたに違いないでしょう。
イタリアのアプリストアで消えたねぇ。