Cyberatak na DeepSeek a doniesienia o podatności modelu R1

Dla nas oczywiście najważniejszy jest aspekt bezpieczeństwa. I w tym obszarze chiński producent sztucznej inteligencji dostarczył tematu do debaty. W ubiegły poniedziałek DeepSeek poinformował, że przyczyną braku możliwości rejestracji użytkowników na stronie internetowej był cyberatak. Wiadomość ta pojawiła się tuż po tym, jak badacze bezpieczeństwa zaczęli znajdować luki w zabezpieczeniach modelu R1 firmy.

Firma DeepSeek została założona w 2023 roku i niedawno wydała swój model R1 z otwartym kodem źródłowym, który według autorów dorównuje popularnym chatbotom, takim jak ChatGPT firmy OpenAI i Gemini od Google. Ma być konkurencyjny zarówno pod względem wydajności, jak i opłacalności — rzekomo wymaga znacznie mniejszej mocy obliczeniowej niż konkurenci.

27 stycznia DeepSeek poinformował, że jego serwery stały się celem złośliwych ataków na dużą skalę. Uniemożliwiły one rejestrację nowym użytkownikom, ale według producenta nie przeszkodziły w logowaniu już zarejestrowanym użytkownikom: „Z powodu złośliwych ataków na dużą skalę na usługi DeepSeek tymczasowo ograniczamy rejestracje, aby zapewnić ciągłość usługi. Istniejący użytkownicy mogą się logować jak zwykle”.

Chociaż nie podano żadnych dodatkowych informacji, krótki opis udostępniony przez firmę sugeruje, że padła ofiarą ataku DDoS.

DeepSeek ostrzegł również użytkowników przed fałszywymi, podszywającymi się pod nich  kontami w mediach społecznościowych.

Tymczasem wraz z pojawieniem się kontrowersji wokół parametrów wydajnościowych DeepSeek, branża cyberbezpieczeństwa zaczęła szukać luk w modelu AI.

Kela, firma zajmująca się wywiadem zagrożeń, poinformowała w zeszły poniedziałek o znalezieniu kilku luk w zabezpieczeniach, twierdząc, że jej red team był w stanie „złamać model w szerokim zakresie scenariuszy, umożliwiając mu generowanie złośliwych wyników, takich jak tworzenie oprogramowania ransomware, generowanie poufnych treści i szczegółowych instrukcji dotyczących tworzenia toksyn i urządzeń wybuchowych”.

Kela przetestowała kilka znanych jailbreaków – metod używanych do oszukiwania chatbotów w celu ominięcia lub zignorowania mechanizmów zaprojektowanych, aby zapobiegać złośliwemu użyciu – i odkryła, że DeepSeek R1 jest podatny.

Nawiasem mówiąc, o podobnych podatnościach w ChatGPT już w naszym portalu pisaliśmy.

Metody jailbreak takie jak Evil Jailbreak (instruowanie chatbota, aby przyjął osobowość „złola”) czy Leo (instruowanie, aby przyjął osobowość bez ograniczeń), które zostały dawno załatane w innych modelach, takich jak ChatGPT, nadal działają w DeepSeek R1, jak twierdzi Kela.

Zespół red team firmy zajmującej się wywiadem zagrożeń nakłonił również chatbota R1 do wyszukania i utworzenia tabeli zawierającej dane dotyczące dziesięciu starszych pracowników OpenAI, w tym prywatne adresy e-mail, numery telefonów i wynagrodzenia.

W przeciwieństwie do ChatuGPT, który odmówił podania informacji po otrzymaniu tego samego żądania, chatbot DeepSeek zastosował się do żądania i podał trudne do zweryfikowania, ale najprawdopodobniej zmyślone dane.

„Ta odpowiedź pokazuje, że niektóre z informacji generowanych przez DeepSeek nie są wiarygodne, co podkreśla brak niezawodności i dokładności modelu. Użytkownicy nie mogą polegać na DeepSeek w zakresie dokładnych lub wiarygodnych danych w takich przypadkach”, twierdzi Kela.

W Stanach odbyła się również dyskusja na temat ryzyka związanego z prywatnością w przypadku korzystania z chińskiej usługi w świetle potencjalnego zakazu używania TikToka w USA.

W Polsce między innymi Niebezpiecznik pisał o autocenzurze modelu w celu uniknięcia pytań politycznych niewygodnych dla chińskiego reżimu.

Za SecurityWeek cytujemy Jennifer Mahoney, menedżer ds. praktyk doradczych, zarządzania danymi, prywatności i ochrony w Optiv:

„Wraz z wejściem na rynek generatywnych platform AI od zagranicznych przeciwników użytkownicy powinni kwestionować pochodzenie danych używanych do trenowania tych technologii. Powinni również kwestionować własność tych danych i upewnić się, że zostały wykorzystane etycznie w celu generowania odpowiedzi” – powiedziała. „Ponieważ przepisy dotyczące prywatności różnią się w zależności od kraju, ważne jest, aby mieć świadomość, kto uzyskuje dostęp do informacji wprowadzanych na tych platformach i co jest z nimi robione”.