DeepSeek、機密情報漏えいか　チャット履歴含む100万件超のログが閲覧できた可能性　米セキュリティ企業

[ITmedia]

　米セキュリティ企業Wizは1月30日、中国AIスタートアップDeepSeekについて、AIチャットサービスのチャット履歴などを含むデータが外部から閲覧可能な状態だったと発表した。データベースの脆弱性によるもので、Wizは問題についてDeepSeekに通知済み。DeepSeekも対応済みという。

　閲覧可能だったのは、チャット履歴に加え、APIキーやバックエンドの詳細などのプレーンテキストを含む100万件以上のログ。悪意のある攻撃者がデータベースを操作した場合、直接サーバから機密情報を取得できた可能性があった他、認証なしにデータベースを制御し、権限を昇格できる可能性もあった。

　Wizが、DeepSeekの一般にアクセス可能なドメインを評価し、約30のサブドメインを発見・調査したところ、データベース管理システム「ClickHouse」のデータベースに認証なしでアクセスできることが判明したとしている。

　Wizは「組織は増加するスタートアップやプロバイダーのAIツールやサービスの導入を急いでいるが、同時にこれらの企業に機密データを託していることを忘れてはならない」と指摘している。

　DeepSeekは21日、米OpenAIのハイエンドモデル「o1」と同レベルの性能をうたう大規模言語モデル（LLM）「DeepSeek-R1」を公開。高性能ながら開発コストが極めて低いとの情報が広がり、注目を浴びている。