米セキュリティ企業Wizは1月30日、中国AIスタートアップDeepSeekが提供するAIチャットサービスにおいて、チャット履歴などのデータが外部から閲覧可能な状態だったと発表した。データベースの脆弱性が原因で、Wizはこの問題をDeepSeekに通知。DeepSeek側は対応を完了しているという。閲覧可能なデータには、チャット履歴のほか、APIキーやバックエンドの詳細を含む100万件以上のログが含まれていた。悪意のある攻撃者がデータベースを操作すれば、サーバから機密情報を直接取得したり、認証なしでデータベースを制御し権限を昇格する恐れもあった。
Wizは、DeepSeekの公開ドメインを評価し、約30のサブドメインを調査。その結果、データベース管理システム「ClickHouse」に認証なしでアクセス可能な状態だったと指摘している。
Wizは「組織はAIツールやサービス導入を急ぐ一方で、これら企業に機密情報を預けていることを忘れてはならない」と警鐘を鳴らしている。
DeepSeekは21日、米OpenAIのハイエンドモデル「o1」に匹敵する性能を持つ大規模言語モデル(LLM)「DeepSeek-R1」を公開。高性能でありながら開発コストが極めて低いとされ、注目を集めている。
画像: 日本経済新聞