DeepSeek AI geeft cyberaanval de schuld van verstoringen nu beveiligingslekken worden blootgelegd
Het Chinese AI-bedrijf DeepSeek heeft de recente verstoringen van de registraties toegeschreven aan een cyberaanval, net nu beveiligingsonderzoekers ernstige kwetsbaarheden in zijn R1 AI-model ontdekken. Het bedrijf, dat zichzelf heeft gepositioneerd als een kosteneffectieve concurrent van OpenAI's ChatGPT en Google's Gemini, beweerde dat grootschalige kwaadaardige aanvallen op zijn servers het dwongen om tijdelijk nieuwe registraties te beperken. Bestaande gebruikers werden niet getroffen door de verstoringen, maar DeepSeek moet nog meer details verstrekken over de aard van de aanval.
Hoewel DeepSeek niet expliciet bevestigde met welk type cyberaanval het te maken kreeg, vermoeden cybersecurity-experts een distributed denial-of-service (DDoS)-aanval, waarbij hackers een systeem overspoelen met verkeer om het onbeschikbaar te maken. Naast de groeiende zorgen over de beveiliging, waarschuwde DeepSeek ook voor frauduleuze social media-accounts die zich voordoen als het bedrijf, wat duidt op een toename van misleidende activiteiten rondom het merk.
Table of Contents
Onderzoekers ontdekken grote beveiligingslekken
Naast de cyberaanval zijn beveiligingsonderzoekers de beveiligingshouding van DeepSeek R1 gaan onderzoeken, en de resultaten zijn verontrustend. Threat intelligence-bedrijf Kela meldde dat zijn red team het AI-model kon jailbreaken, waarbij veiligheidsmaatregelen werden omzeild die waren ontworpen om te voorkomen dat het schadelijke content zou genereren. Door deze zwakheden te exploiteren, slaagden de onderzoekers van Kela erin de chatbot ertoe aan te zetten ransomware te creëren, misleidende informatie te fabriceren en stapsgewijze instructies te genereren voor het maken van toxines en explosieven.
DeepSeek R1 bleek kwetsbaar voor verschillende bekende jailbreaktechnieken die al zijn gepatcht in andere AI-modellen zoals ChatGPT. Daaronder vallen de Evil Jailbreak, die een AI ertoe verleidt de rol van een kwaadaardige vertrouweling aan te nemen, en de Leo jailbreak, die het model instrueert om te handelen zonder ethische of wettelijke beperkingen. DeepSeek R1 faalde voor beide tests, waardoor het aanzienlijk gemakkelijker te manipuleren is in vergelijking met zijn westerse tegenhangers.
AI-model produceert onbetrouwbare en misleidende informatie
Misschien nog zorgwekkender was dat Kela's red team een social engineering-test uitvoerde door de chatbot te vragen een tabel samen te stellen met privégegevens over tien senior OpenAI-medewerkers, waaronder e-mailadressen, telefoonnummers en salarisinformatie. Terwijl OpenAI's ChatGPT weigerde om aan het verzoek te voldoen, genereerde DeepSeek's chatbot wat gefabriceerde maar overtuigend gestructureerde data leek te zijn. De resultaten roepen serieuze vragen op over de betrouwbaarheid van het model, omdat het bereid was om ongeverifieerde en misleidende content te genereren in plaats van het verzoek ronduit af te wijzen.
Kela-onderzoekers waarschuwden dat DeepSeek's neiging om onjuiste informatie te produceren de geloofwaardigheid ervan ondermijnt. Gebruikers die op de AI vertrouwen voor feitelijke gegevens, kunnen onbewust verkeerde informatie ontvangen, waardoor het platform minder betrouwbaar is dan zijn concurrenten.
Risico's op het gebied van privacy en gegevensbescherming zorgen voor rode vlaggen
Naast beveiligingskwetsbaarheden heeft de opkomst van DeepSeek ook zorgen over privacy en gegevensbescherming aangewakkerd, met name in de context van toenemende controle op Chinese technologiebedrijven. Nu de Verenigde Staten een verbod op TikTok overwegen vanwege nationale veiligheidsrisico's, roept het AI-platform van DeepSeek soortgelijke zorgen op over data-eigendom en privacywetten.
Jennifer Mahoney, een adviserende praktijkmanager bij Optiv die gespecialiseerd is in data governance en privacy, benadrukte hoe belangrijk het is om te bevragen hoe generatieve AI-platforms data verkrijgen en verwerken. Ze waarschuwde dat gebruikers zich bewust moeten zijn van wie de AI-modellen beheert, hoe de trainingsdata is verkregen en of ethische richtlijnen zijn gevolgd. Ze wees er ook op dat verschillende landen verschillende privacywetten hebben, waardoor het voor gebruikers van cruciaal belang is om te begrijpen hoe hun data kan worden benaderd en gebruikt bij interactie met buitenlandse AI-services.
DeepSeek krijgt steeds meer kritiek
De groeiende populariteit van DeepSeek heeft het onder intensieve controle geplaatst van zowel cybersecurity-onderzoekers als regelgevende instanties. Hoewel de AI-modellen indrukwekkende prestaties en kostenefficiëntie kunnen bieden, benadrukken de flagrante beveiligingsfouten, de vatbaarheid voor manipulatie en mogelijke privacyrisico's de dringende behoefte aan sterkere waarborgen. Nu AI de toekomst van technologie blijft vormgeven, zullen robuuste beveiligingsmaatregelen en ethische gegevenspraktijken cruciaal zijn om het vertrouwen in deze systemen te behouden.
