La piattaforma di intelligenza artificiale generativa DeepSeek ha conquistato l’attenzione globale questa settimana, ma con la crescente popolarità arriva anche un maggiore scrutinio. Secondo un’indagine condotta da Wiz Research, un’importante vulnerabilità nel software espone una delle sue banche dati più critiche.

Una grave vulnerabilità

L’analisi ha rivelato che chiunque si fosse imbattuto nel database avrebbe potuto accedere a oltre un milione di record, tra cui dati utente, log di sistema, chiavi API e persino prompt inviati dagli utenti. Ancora più preoccupante, i ricercatori hanno scoperto questa falla quasi immediatamente, senza la necessità di eseguire scansioni approfondite.

“Di solito, quando troviamo questo tipo di vulnerabilità, si tratta di un servizio trascurato che richiede ore di ricerca,” ha dichiarato Nir Ohfeld, responsabile della ricerca sulle vulnerabilità di Wiz, in un’intervista a Wired. “Ma questa volta era proprio davanti alla porta d’ingresso.”

Wiz Research ha sottolineato che un attore malevolo avrebbe potuto sfruttare questa vulnerabilità per accedere ad altri sistemi di DeepSeek. Tuttavia, la società ha eseguito solo un’analisi minima per confermare la scoperta senza compromettere ulteriormente la privacy degli utenti. Al momento, non ci sono prove che altre persone abbiano individuato il database prima della segnalazione.

DeepSeek ha “plagiato” ChatGPT? Le accuse di OpenAI e Microsoft DeepSeek ha “plagiato” ChatGPT? Le accuse di OpenAI e Microsoft

Contattare l’azienda è stato più complicato di trovare la falla

DeepSeek ha colto alla sprovvista tutti

Poiché DeepSeek è un’azienda emergente con sede in Cina, il team di Wiz ha fatto difficoltà a segnalare la vulnerabilità. Alla fine, hanno inviato email e messaggi LinkedIn a ogni contatto disponibile. In risposta, il database è stato bloccato entro 30 minuti dall’invio della segnalazione di massa.

DeepSeek non è la prima azienda AI a subire una grave violazione della sicurezza. Nel 2023, un hacker ha avuto accesso ai log interni di OpenAI, e un bug ha esposto dati personali degli utenti nello stesso anno.

“L’intelligenza artificiale è la nuova frontiera della tecnologia e della sicurezza informatica,” ha aggiunto Ohfeld. “Eppure continuiamo a vedere le stesse vecchie vulnerabilità, come database lasciati esposti su internet.”

Fonte: