- Der chinesische Anbieter generativer KI erlebte einen schnellen Aufstieg, der Druck auf US-KI-Unternehmen ausübt. Wiz entdeckte, dass eine kritische DeepSeek-Datenbank ungeschützt im Internet war, mit über einer Million offener Datensätze. Sicherheitsforscher kritisierten DeepSeek für offensichtliche Sicherheitsdefizite und warnten vor der Möglichkeit weiterer Systemzugriffe. Der Vorfall unterstreicht die Verwundbarkeit von Cloud-Datenbank-Technologien. Gesetzgeber interessieren sich zunehmend für die Datenschutzpraktiken von DeepSeek, insbesondere hinsichtlich des chinesischen Besitzes.
Der chinesische Anbieter generativer künstlicher Intelligenz erlebte in dieser Woche einen bemerkenswerten Aufstieg. Dies löste Druck auf KI-Unternehmen aus den USA aus. Gleichzeitig veröffentlichte die Sicherheitsfirma Wiz am Mittwoch besorgniserregende Erkenntnisse. Darin zeigten sie, dass eine kritische Datenbank von DeepSeek im Internet ungeschützt war. Sensible Informationen wie Systemprotokolle und API-Authentifizierungs-Token – insgesamt über eine Million Datensätze – waren ungeschützt zugänglich. DeepSeek, ein relativ neues Unternehmen, war unerreichbar für Presse und andere Organisationen. Auf Anfrage von WIRED reagierte das Unternehmen nicht, jedoch wurde die Datenbank nach dem Kontaktversuch der Forscher zügig gesichert.
Eine problematische Sicherheitslücke
Es ist unklar, ob bösartige Akteure die Datenbank vor der Sicherung einsehen oder herunterladen konnten. Laut Wiz-CTO Ami Luttwak ist der Vorfall ein ernstzunehmender Fehler. Solch öffentliche Datenbanken sind ein langjähriges Problem, das nur langsam adressiert wird. Die DeepSeek-Datenbank war jedoch ohne großen Aufwand sichtbar. In der Regel dauert es Stunden, solche Schwachstellen zu finden, erklärte Nir Ohfeld von Wiz. In diesem Fall sei es jedoch eine triviale Aufgabe gewesen. Die anfällige Datenbank war vom Typ ClickHouse, einem offenen Datenbanksystem für Serveranalysen. Die offenliegenden Informationen bestätigten dies, da sie Nutzerinteraktionen und deren Authentifizierungs-API-Schlüssel umfassten.
Einfache Entdeckung mit weitreichenden Konsequenzen
Sicherheitsexperten mutmaßen, dass bösartige Akteure womöglich tiefen Zugang zur Datenbank hätten nutzen können, um auf weitere Systeme von DeepSeek zuzugreifen. Der renommierte Sicherheitsforscher Jeremiah Fowler kritisierte das offensichtliche Sicherheitsdefizit des Unternehmens. DeepSeek scheint sich in seinem Aufbau stark an OpenAI zu orientieren, was Nutzern den Wechsel erleichtern könnte. Unklar ist jedoch, ob andere Forscher oder gar Täter die Datenbank vor Wiz entdeckt haben. Fowler hebt hervor, dass die Datenbank mit Sicherheit auch von anderen entdeckt worden wäre. Der Vorfall verdeutlicht die Verwundbarkeit von auf Cloud-Datenbanken basierenden Technologien.
Tiefgreifende Fragen der Regulierung
DeepSeek hat global enormes Interesse geweckt, was zu einem Anstieg der Downloads führte und US-basierte KI-Unternehmen unter Druck setzte. Darüber hinaus interessieren sich Gesetzgeber zunehmend für die Datenschutzrichtlinien des Unternehmens, insbesondere im Zusammenhang mit dem chinesischen Besitz. In Italien hat der Datenschutzbeauftragte Fragen zur Herkunft der Trainingsdaten gerichtet. Parallel dazu werden Sicherheitsbedenken laut, wie kürzlich eine Warnung der US Navy verdeutlichte, die ihre Mitarbeiter vor der Nutzung der DeepSeek-Services warnte. Trotz aller Begeisterung bleibt deutlich, dass Technologien mit Sicherheitsschwächen wie der hier beschriebenen keine Zukunftssicherheit bieten, ohne erhebliche Verbesserungen vorzunehmen.
