Die chinesische KI
Deepseek schafft es abermals in die Schlagzeilen, dieses Mal aber nicht aufgrund bahnbrechender Performance: Offenbar ereignete sich beim chinesischen Unternehmen eine schwere Datenpanne. Dabei wurde der KI-Entwickler nicht einmal angegriffen, sondern die betroffenen Daten waren komplett ungeschützt im Internet ersichtlich. Dies hat das Wiz, ein in New York ansässiges Sicherheitsunternehmen, nach einer Prüfung
herausgefunden.
Wiz stellte fest, dass Deepseek Bereiche der Datenbankinfrastruktur der KI-Dienste nicht gesichert hat. Die hier abrufbaren Daten umfassen Chat-Verläufe, Backend-Daten und weitere sensiblen Informationen wie Log-Streams, APIs und operative Details. Um auf die Daten zuzugreifen, war keinerlei Authentifizierung notwendig. Theoretisch wäre gar eine Ausweitung der Berechtigungen innerhalb der Deepseek-Umgebung möglich gewesen.
Das Security-Unternehmen Wiz erklärt, dass die Suche nach diesem eklatanten Mangel nicht einmal besonders viel Zeit und Aufwand in Anspruch genommen hat. Der einzige Trost sei, dass Deepseek die Mängel nach der Kontaktaufnahme durch Wiz umgehend innert einer Stunde behoben habe. Die Forscher befürchten jedoch, dass möglicherweise auch Kriminelle mit weniger löblichen Absichten die ungesicherten Daten entdeckt haben. Wiz weist deshalb abschliessend darauf hin, dass die Übermittlung von heiklen Daten an eine öffentliche KI – egal, um welche es sich dabei handelt – nach wie vor ein Sicherheitsrisiko darstellt.
(dok)