Chats van gebruikers DeepSeek op straat door beveiligingslek: 'Best wel schokkend'

©Freepik

Datalek bij DeepSeek: chats van gebruikers uitgelekt door beveiligingsblunder
30 januari om 02:52
Update: 30 januari om 03:03

Een grote hoeveelheid gevoelige gegevens van de omstreden AI-app DeepSeek was door een ernstige beveiligingsfout voor iedereen te bekijken. Het Chinese bedrijf had een belangrijke database open laten staan.

Het Israëlische cybersecuritybedrijf Wiz ontdekte dat DeepSeek per ongeluk meer dan een miljoen regels aan gegevens helemaal onbeveiligd online had staan. Het ging onder meer om chatlogs met de prompts die gebruikers aan de AI-assistent hadden gestuurd. DeepSeek greep snel in nadat Wiz het Chinese bedrijf een waarschuwend mailtje had gestuurd. Ondanks dat de startup niet reageerde, werd het beveiligingslek wel binnen een half uur gedicht.

Het vinden van de DeepSeek-database bleek zeer makkelijk. "Dit was zo eenvoudig dat we denken dat we niet de enigen zijn die het hebben gevonden", aldus Ami Luttwak, medeoprichter van Wiz. In de 'kritieke database' stonden behalve gesprekken van gebruikers met de AI-assistent ook digitale softwaresleutels en systeemlogboeken.  

Niet gebruiken voor gevoelige zaken

"Dit is een dramatische fout, omdat we er heel weinig voor hoefden te doen en we een erg hoog niveau van toegang kregen", zegt Luttwak tegen Wired. "Dit betekent dat de dienst niet volwassen genoeg is om te worden gebruikt met gevoelige gegevens."

"Het is behoorlijk schokkend om een ​​AI-model te bouwen en de achterdeur wijd open te laten staan ​​vanuit een beveiligingsperspectief", reageert beveiligingsonderzoeker Jeremiah Fowler bij Wired. Volgens hem vormt dit 'een groot risico voor de organisatie en gebruikers'.

Het snelle tempo waarin AI-startups diensten lanceren leidt er volgens Wiz regelmatig toe dat er beveiligingszaken over het hoofd worden gezien. "Het is cruciaal dat beveiligingsteams nauw samenwerken met AI-ontwikkelaars."

Veel ophef en downloads

De gratis AI-app van DeepSeek werd deze week door miljoenen mensen gedownload omdat het vergelijkbare prestaties als concurrent OpenAI zou bieden. Het Chinese bedrijf zorgde in de techwereld voor grote opschudding vanwege zijn claims over de zeer lage kosten waarmee de AI-modellen zouden zijn getraind. Slechts een fractie van de rekenkracht die OpenAI had gebruikt zou er voor nodig zijn geweest.

Mogelijk heeft de Chinese startup echter misbruik gemaakt van OpenAI's diensten om kennis uit de modellen van het Amerikaanse bedrijf te verzamelen, om daar vervolgens zijn eigen modellen goedkoop en snel mee te trainen. OpenAI en Microsoft doen nog onderzoek naar eventueel misbruik door de makers van DeepSeek.

Luister ook naar wat wij vinden van DeepSeek.

Volg meer over DeepSeek en mis niets met de Bright-app.