來源：云頭條 作者：Wiz Research

　　一個屬于?DeepSeek 的可公開訪問的數(shù)據(jù)庫允許訪客全面控制數(shù)據(jù)庫操作，包括能夠訪問內(nèi)部數(shù)據(jù)。

　　Wiz Research發(fā)現(xiàn)了一個屬于DeepSeek 的可公開訪問的 ClickHouse 數(shù)據(jù)庫，允許訪客全面控制數(shù)據(jù)庫操作，包括能夠訪問內(nèi)部數(shù)據(jù)。

　　泄露的信息包括 100 多萬行日志流，其中包含聊天記錄、密鑰、后端詳細(xì)信息及其他高度敏感的信息。

　　Wiz Research 團(tuán)隊立即負(fù)責(zé)任地向 DeepSeek 披露了這個問題，后者迅速采取了安全措施。

　　摘要

　　最近 DeepSeek?因其開創(chuàng)性的?AI?模型（尤其是?DeepSeek-R1?推理模型）而獲得媒體的廣泛關(guān)注。這款模型在性能方面比肩OpenAI?的o1?等領(lǐng)先的?AI?系統(tǒng)，成本效益和效率方面脫穎而出。

　　隨著 DeepSeek 在 AI 領(lǐng)域掀起波瀾，Wiz Research 團(tuán)隊開始評估其外部安全狀況，以發(fā)現(xiàn)任何潛在的漏洞。

　　Wiz Research?發(fā)現(xiàn)了一個與 DeepSeek 相連的可公開訪問的 ClickHouse 數(shù)據(jù)庫，完全敞開，未采取身份驗證機制，暴露了敏感數(shù)據(jù)。

　　它被托管在 oauth2callback.deepseek.com：9000 和 dev.deepseek.com：9000。

　　該數(shù)據(jù)庫包含大量的聊天歷史記錄、后端數(shù)據(jù)和敏感信息，包括日志流、API 秘密信息和操作細(xì)節(jié)。

　　更為關(guān)鍵的是，暴露的信息允許訪客全面控制數(shù)據(jù)庫，并在 DeepSeek 環(huán)境中進(jìn)行潛在的特權(quán)升級，對外界沒有任何身份驗證或防御機制。

　　我們的偵察從評估DeepSeek的可公共訪問的域開始。

　　通過利用簡單的偵察技術(shù)（被動/主動發(fā)現(xiàn)子域）分析外部攻擊面，Wiz Research?發(fā)現(xiàn)了約30?個面向互聯(lián)網(wǎng)的子域。大多數(shù)子域看起來都是良性的，托管聊天機器人界面、狀態(tài)頁面和?API?文檔等內(nèi)容——最初這些都不是高風(fēng)險的暴露信息。

　　然而，當(dāng)我們將搜索范圍從標(biāo)準(zhǔn) HTTP端口（80/443）擴大到其他端口后，發(fā)現(xiàn)了兩個不尋常的開放端口（8123和9000），它們與以下主機相關(guān)：

　　?http://oauth2callback.deepseek.com：8123

　　?http://dev.deepseek.com：8123

　　?http://oauth2callback.deepseek.com：9000

　　?http://dev.deepseek.com：9000

　　進(jìn)一步調(diào)查后發(fā)現(xiàn)，這些端口通向一個公開暴露的ClickHouse數(shù)據(jù)庫，無需任何身份驗證即可訪問，這立即拉響了警報。

　　ClickHouse 是一個開源列式數(shù)據(jù)庫管理系統(tǒng)，專為大型數(shù)據(jù)集的快速分析查詢而設(shè)計。它由Yandex開發(fā)，廣泛用于實時數(shù)據(jù)處理、日志存儲和大數(shù)據(jù)分析，這表明暴露的內(nèi)容含有很寶貴的敏感信息。

　　通過利用 ClickHouse的HTTP接口，我們訪問了/play路徑，該路徑允許通過瀏覽器直接執(zhí)行任意 SQL查詢。運行簡單的SHOW TABLES；查詢，返回了可訪問數(shù)據(jù)集的完整列表。

　　來自 ClickHouse Web UI 的表輸出：

　　其中，有一個表引人注目：log_stream，包含的豐富日志里面有大量高度敏感的數(shù)據(jù)。

　　log_stream 表包含 100?多萬個日志條目，列內(nèi)容特別引人注目：

　　?timestamp——從2025年1月6日開始的日志。

　　?span_name——對各種內(nèi)部 DeepSeek API端點的引用。

　　?string.values——明文日志，包括聊天記錄、API密鑰、后端詳細(xì)信息和操作元數(shù)據(jù)。

　　?_service——表明哪個 DeepSeek服務(wù)生成了日志。

　　?_source——暴露日志請求的來源，包含聊天記錄、API密鑰、目錄結(jié)構(gòu)和聊天機器人元數(shù)據(jù)日志。

　　這種級別的訪問權(quán)限給 DeepSeek 的自身及其最終用戶的安全構(gòu)成了嚴(yán)重風(fēng)險。

　　攻擊者不僅可以檢索敏感日志和實際的明文聊天信息，還有可能使用 SELECT * FROM文件（’文件名’）之類的查詢，直接從服務(wù)器泄露明文密碼、本地文件以及專有信息，具體取決于 ClickHouse 配置情況。

　?。ㄗⅲ簽榱舜_保安全研究遵循職業(yè)操守，我們沒有執(zhí)行枚舉之外的侵入性查詢。）

　　幾點感想

　　在沒有相應(yīng)安全保障的情況下，迅速采用 AI 服務(wù)本身存在風(fēng)險。這次泄露事件強調(diào)了這個事實：AI 應(yīng)用的安全風(fēng)險直接源于支持它們的基礎(chǔ)設(shè)施和工具。

　　雖然圍繞 AI 安全的注意力大都集中在未來的威脅上，但真正的危險常常來自基本的風(fēng)險，比如數(shù)據(jù)庫意外暴露。防范這些風(fēng)險應(yīng)該是安全團(tuán)隊的當(dāng)務(wù)之急。

　　隨著企業(yè)組織競相采用越來越多的初創(chuàng)公司和供應(yīng)商提供的 AI 工具和服務(wù)，有必要記住：如果這么做，我們無異于把敏感數(shù)據(jù)托付給了這些公司。迅速采用 AI 常常導(dǎo)致忽視安全，但保護(hù)客戶數(shù)據(jù)必須仍然是首要任務(wù)。安全團(tuán)隊與 AI 工程師密切合作，確保深入了解所使用的架構(gòu)、工具和模型，這一點至關(guān)重要，這樣我們才可以保護(hù)數(shù)據(jù)、防止泄露。

　　結(jié)語

　　全球還沒有哪一項技術(shù)像 AI 這樣被迅速采用。

　　許多 AI 公司已迅速成長為關(guān)鍵基礎(chǔ)設(shè)施提供商，但缺少通常伴隨這種廣泛采用而來的安全框架。隨著 AI 深度融入到全球企業(yè)中，業(yè)界必須認(rèn)識到處理敏感數(shù)據(jù)的風(fēng)險，并落實向公共云提供商和主要基礎(chǔ)設(shè)施提供商要求的安全措施看齊的安全措施。