به گزارش کارگروه فناوری اطلاعات سایبربان، پژوهشگران این شرکت امنیتی میگویند راه ارتباطی مشخصی برای تماس با شرکت چینی نداشتند و برای اطلاعرسانی به تمام آدرسهای موجود ایمیل ارسال کردهاند که البته هنوز پاسخی دریافت نشده است.
با این حال دیتابیسی که شرکت امنیتی Wiz پیدا کرده بود در حال حاضر امکان دسترسی برای کاربران غیرمجاز را مسدود کرده است و مشخص نیست که آیا تبهکاران یا طرفین غیرمجازی تا پیش از این تاریخ به دادهها دسترسی پیدا کرده باشند یا خیر.
امنیت بسیار پایین دیتابیس دیپسیک
امی لاتواک، مدیر ارشد فناوری شرکت Wiz، به وایرد گفت: «درست است که چنین اشتباهاتی طبیعی هستند، اما این یک اشتباه بزرگ است، زیرا به تلاش کمی نیاز است و سطح دسترسی که ما پیدا کردیم بسیار بالا بود. میتوانم بگویم چنین چیزی به این معنا است که این خدمت به هیچ وجه برای استفاده دادههای حساس بلوغ کافی ندارد.»
مشکل دسترسی غیرمجاز به دیتابیسهای نا امن یک مساله دیرینه برای موسسات و ارائه دهندگان ابری است که به آرامی برای برطرف کردن آن تلاش میکنند اما پژوهشگران Wiz میگویند این دیتاست با حداقل اسکن یا جستجو قابل مشاهده بود.
نیر اوفلد، رئیس تحقیقات آسیبپذیری شرکت Wiz، میگوید: «وقتی ما چنین سطح خطری را پیدا میکنیم، معمولا مربوط به نوعی خدمت نادیده گرفته شده است که پیدا کردنش چندین ساعت طول میکشد و به ساعتها اسکن نیاز دارد.» اما اوفلد میگوید که این مورد درست پیش روی آنها بود و «دشواری فنی این آسیبپذیری در حداقل ممکن است.»
پژوهشگران میگویند دادههایی که آنها پیدا کردهاند به نظر نوعی دتابیس متنباز است که برای تجزیه تحلیل سروری به نام دیتابیس ClickHouse استفاده میشود و اطلاعات فاش شده نیز این نظریه را تایید میکنند زیرا فایلهای لاگ حاوی مسیر کاربران در سیستمهای دیپسیک در آن وجود داشت و همچنین پرامپت و دیگر تعاملات با خدمت را نیز شامل میشد. پرامپتهایی که پژوهشگران مشاهده کردهاند همگی به زبان چینی بودند اما به گفته آنها ممکن است که این دیتاست پرامپتهای دیگر زبانها را نیز شامل شود. پژوهشگران میگویند برای محافظت از حریم خصوصی کاربران، حداقل ارزیابی را به عمل آوردهاند اما گمان میبرند کهه ممکن است تبهکاران نیز به چنین سطحی از دسترسی رسیده باشند.
سیستمهای دیپسیک به تقلید از اوپنایآی طراحی شدهاند
پژوهشگران میگویند سیستمهای دیپسیک به نظر به گونهای طراحی شدهاند که شبیه به اوپنایآی باشند تا مهاجرت کاربران را تسهیل کنند. به گفته آنها تمام زیرساخت دیپسیک به نظر از اوپنایآی تقلید میکند و حتی فرمت کلیدهای API نیز شبیه به شرکت آمریکایی است.
دیپسیک در هفتههای اخیر سر و صدای زیادی در صنعت فناوری و بخش هوش مصنوعی به پا کرده است و رقیب ارزانقیمت اوپنایآی باعث ریزش ارزش سهام شرکتهای فناوری آمریکا شد. با این حال نگرانیهای مختلفی نیز درمورد این ابزار مطرح شده است. نهادهای آمریکایی به نظر نگران امنیت استفاده از این ابزار هستند و گزارش اخیر CNBC نشان میدهد که نیروی دریایی آمریکا به کارکنان هشدار داده است که به هیچ عنوان از خدمات دیپسیک «در هیچ اندازهای» استفاده نکنند و اعضای نیروی دریایی نباید این مدل را دانلود، نصب یا استفاده کنند.
افزون بر این بحث سانسور هوش مصنوعی دیپسیک نیز در این هفته خبر ساز شد و به نظر شرکت چینی محدودیتهای بسیار زیادی را برای نسخه انگلیسی هوش مصنوعی در نظر گرفته است، به طور که این سیستم تقریبا به هیچ سوالی درمورد شی جین پینگ، رئیس جمهور چین و رهبر حزب کمونیست، پاسخی نمیدهد. با این حال بررسیهای ما نشان میدهد که در زبان فارسی چنین محدودیتهایی را مشاهده نمیکنیم.
