研究人员评估了DeepSeek的外部安全姿势,在几分钟之内发现了一个公开访问的Clickhouse数据库。主持在:
- oauth2callback.deepseek.com:9000
- dev.deepseek.com:9000
该数据库缺乏身份验证控件,并且包含超过一百万行的日志流,包括API秘密,后端详细信息和操作元数据。更令人震惊的是,该暴露允许完整的数据库控制,从而增加了DeepSeek基础架构中特权升级的风险。
Wiz的调查显示,特权升级风险和未经身心的内部数据访问 – 紧急网络安全危险信号。 DeepSeek在披露后迅速确保了数据库。他们还宣布:“由于对DeepSeek服务的大规模恶意攻击,我们暂时限制注册以确保继续服务。现有用户可以照常登录”。但是,现有用户不受影响,可以像往常一样继续登录。限制虽然没有正式称为临时性,但似乎是管理聊天机器人全球知名度迅速增长而发生的网络攻击的一种方式。