Комментарии 84
Вот и верь после такого всяким компаниям, которые уверяют, что мои данные надёжно защищены)
Просто как разместить базу и написать бекэнд китайским разработчикам помог их же DeepSeek, а они просто скопировали и вставили без отладки.
Как это относится к тому, что база ClickHouse была выставлена портами для всего Интернета? DeepSeek что у него спросят, то и отвечает. Интересно, что можно скопировать и вставить без отладки? Сетевые конфиги?
А вообще все кому не лень вешают плашки, что "ваши данные надёжно защищены", прикрываются бумажками-сертификатами на сертифицированные средства / аттестованные системы. А если точечно копать (как в данном случае сделали на общем хайпе к сервису), то всегда что-нибудь, да найдётся - 100 процентной защиты не существует, глупо в это верить.
Ну вот я задал вопрос об установке ClickHouse самой нейронке.
По тексту она ни разу не упоминает фаерволл. При этом listen_host 0.0.0.0. А про настройку пользователей она говорит: "можно настроить". Не нужно, а "можно".
Т.е., если хост торчит в сеть напрямую, а не за роутером, то база данных будет доступна всем желающим.
Оперативно пошла заказуха. Якобы обнаружили, якобы сообщили, якобы устранили. Поди проверь: "а был ли мальчик"?
А как, по-вашему, это могло быть сделано "более правильно"?
Исследователь должен растрезвонить журналистам, чтобы те успели проверить? Пока это происходит, кто-то ещё может наткнуться на базу и слить её.
У инженеров DeepSeek вообще нет выбора в этой ситуации: как только они узнали про дыру, они обязаны её тут же закрыть.
Мне просто интересно, какой вы предлагаете алгоритм действий, если в некоем сервисе обнаружена утечка.
Прочитайте внимательно, что я написал.
Я предполагаю, что большая вероятность того, что никакой "утечки" не было. В пользу этого говорит успех DeepSeek, курс акций OpenAI, короткий временной промежуток между выходом DeepSeek и находкой, угроза репутации западным ИИ, куча вопросов типа "куда пошли миллиарды убитых енотов" и почему у азиатов лучше и дешевле, общая политика западных стран в отношении Китая.
А что говорит в пользу вашей слепой веры в компанию (Wiz Research), про которую к тому же вы первый раз в жизни услышали из этой новости? Сама новость?)))
курс акций OpenAI
И сильно упали? На сколько %?
Спасибо, что указал на опечатку, не могу уже исправить.
Читать следует "акции западных технологических компаний". А дальше - за новостями и цифрами - иди в Гугл.
Прочитайте внимательно, что я прочитал
@
Прочитали, указали на ошибку/неточность
@
Я не то имел в виду, идите в гугл
Переворачивание фактов, отсутствие логики - так себе способ ведения аргументированной дискуссии.
По "опечатке". Да, акции OpenAI не упали, как я написал. Упали акции других компаний. Писал по памяти, т.к. встречал соответствующие заголовки. Что это принципиально меняет? Даёт повод доеб@ться до такой "значимой" ошибки и отвергнуть остальное? Молодец, доеб@лся. По остальному есть что сказать?
Переворачивание фактов, отсутствие логики - так себе способ ведения аргументированной дискуссии.
Да, именно это я и хотел сказать, спасибо
отвергнуть остальное?
Что опровергать? Доказательств "заказухи" Вы не привели.
Я ничего не доказывал и не обязан что-то доказывать. Я высказал мысль и привел в её пользу доводы. А вот обратное ни от кого здесь, включая вас, не услышал.
А какие доводы у вас? Кроме слепой веры в новость что-то есть? Раз по телеку сказали, значит так и было?)))
Я ничего не доказывал и не обязан что-то доказывать. Я высказал мысль и привел в её пользу доводы. А вот обратное ни от кого здесь, включая вас, не услышал.
Никита Сергеевич, вы? :)
p.s. Вообще, было достаточно сказать, что утверждение о сливе это просто слова, это факт и с ним вполне разумно согласиться, а вот ваше утверждение про заказуху уже совершенно голословное.
В пользу этого говорит успех DeepSeek
Это точно также может говорить в пользу реальности обнаружения уязвимости, так как на волне шумихи DeepSeek привлекает к себе много внимания.
короткий временной промежуток между выходом DeepSeek и находкой
Уязвимость простая и не требует большого количества времени и ресурсов на её обнаружение и эксплуатацию.
угроза репутации западным ИИ, куча вопросов типа "куда пошли миллиарды убитых енотов" и почему у азиатов лучше и дешевле, общая политика западных стран в отношении Китая
А это уже типичный набор доводов, которыми обычно пытаются обосновывать любые конспирологические теории.
А что говорит в пользу вашей слепой веры в компанию (Wiz Research), про которую к тому же вы первый раз в жизни услышали из этой новости?
Например то, что компания появилась не вчера и они уже обнаруживали уязвимости, которые были добавлены в базу CVE.
А зачем проверять, почему нельзя поверить на слово? За Wiz Research уже наблюдались какие-то косяки, которые подрывают их репутацию? Вы когда баночку кока-колы покупаете сразу бежите в химическую лабораторию проверять состав, или верите репутации производителя?
А надо бы, буквально на этой недели накрыли завод по подделке кока-колы.
Т.е. коммерческая организация по собственной инициативе бесплатно проводит аудит безопасности сторонней организации, тратит ресурсы и время высокооплачиваемых сотрудников. С тем, чтобы потом бездоказательно сделать заявление?)))
Предполагаю, что вы работаете в государственной структуре, верно?))
На месте Wiz Research я бы даже заплатил DeepSeek, чтобы их обследовать, это ж какая реклама!
Например, с тем, чтобы потом получить от этой компании деньги по Bug Bounty. Или предложить свои услуги им же. Или сделать себе рекламу.
Вот, например, несколько лет назад они же нашли дыру в Azure. И Майки им за это выплатили какие-то деньги.
UPD. Если верить их блогу - за этот год (в смысле, за 2025) это уже четвёртая дыра, которую они нашли. И в прошлом году таких новостей изрядно было. И в позапрошлом...
Ну я даже не знаю как комментировать)) Ради интереса погуглите термин "pro bono". Про freeware и свободное ПО, надеюсь тоже слышали? Вот ведь, глупцы авторы, что-то бесплатно там накодили и раздают миру. Ну и ниже вам накидали ещё вариантов, когда коммерческим компаниям для получения возможных профитов в будущем имеет смысл напрячься забесплатно. У меня к вам тоже встречный вопрос: а вы случайно не чиновник? Эти уж точно забесплатно ничего полезного делать не будут.
Так много кто делает.
А вы не в курсе, что каждую партию продуктов проверяют на соответствие составу и на наличие вредных веществ? В каждую партию закладывают дополнительное количество товара для анализа, для проверки случайным образом выбирается то самое количество товара, затем партию отпускают. В случае положительного теста партию изымают. Если вы доверяете репутации производителя, то это ваша личное дело, но вообще оно по-другому работает
Не совсем понял, что вы имели в виду в контексте этого обсуждения. Типа, контрольные партии кока-колы проверяют, а расследования по кибербезопасности — нет? Ну в организациях из сферы услуг бывает последконтроль, самооценка, внутренний и внешний аудит. По сути это всё аналоги контроля качества на производстве. Ну и, в целом, контроль качества и репутация понятия связанные, но это не одно и то же - репутация может быть безупречной и без контроля качества.
В пищепроме тож бывает ( буквально 2 дня назад http://www.bbc.com/russian/articles/c4gw778lqvjo )
Ну напишите в Wiz, может они согласятся слить в сеть дамп только ваших данных.
Подобная практика передачи данных о проблемах с безопасностью общепринята.
Ну все, прикупаем Nvidia обратно.
Как будто это влияет на возможность крутить открытую модель в любом понравившемся облаке. В том числе и на чипах Huawei.
Чтобы не быть голословным
Разработчики DeepSeek заявили что им удалось запустить свой ИИ на чипе Huawei Ascend 910B. DeepSeek при этом потерял лишь 5% производительности, но стал дешевле еще на 70%.
Никогда не понимал людей, пишущих на китайском...
Financial Times сообщала, что Huawei направила инженеров для помощи клиентам в переходе с чипов NVIDIA на Ascend.
Это со скрина.
То есть каждому покупателю китайских чипов - инженер для помощи в подарок)
Спасибо, что подчеркнули ключевые места, очень помогло!
Подчеркнул не я, но это дело десятое. Вы, как будто, гугл транслейтом не умеете пользоваться. И вообще привыкайте, скоро китайского в медиапространстве будет все больше и больше.
С картинками нужно больше действий. Сохранить фотку, загрузить. А вообще я по старой памяти, пару лет назад ещё не было приличных переводчиков с картинок.
Уже не надо сохранять:
открыть гугл-переводчик в соседней вкладке - 2 сек;
перетащить картинку между вкладками - 1 сек;
понять, что перевод на картинке получился смазанным и сложно читаемым, нажать кнопку копировать текст - 3 сек;
открыть любой текстовый редактор (я открыл ворд) и нажать "вставить" - 3 сек.
Итого - 9 секунд.
Можно еще попробовать OCR с телефона, но я для китайского пользуюсь pleco, а там распознавание с камеры отвратительное, поэтому не привык переводить таким способом.
Давайте от противного: это не утечка, а выдумка, потому что ...? Ответ "у них не может быть утечки сразу после обретения популярности, совпадений не бывает" критики не выдерживает. Дыра может быть у любой компании и в любой момент.
Ошибка потери тезиса, так называемое «соломенное чучело». Чел выше и не отрицает утечку, он говорит о заказухе. У OpenAI была куча сливов, даже чаты разных пользователей перемешивались, и можно было почитать чужие запросы. При этом всякого рода исследователи, в т.ч. из новости, сидели сложа руки, а инфа об этом всплывала в первую очередь от пользователей. Теперь давайте тоже от противного: докажите, что не заказуха?
Снимаю шляпу, плюсануть не могу.))
бремя доказательства на утверждающем
злонамеренное бездействие? серьёзно?
Он выше говорит о "дамажат со всех сторон". Кто в этой новости дамажит? Если "чел выше не отрицает утечку".
Возможно СМИ которым сообщили об утечке("которую чел выше не отрицает"). Или исследователь в твиттере, который нашёл дыру("Которую чел выше не отрицает").
У людей есть такое свойство тыкать во все новое, как ДипСик стал популярным - обыватели побежали тыкать в него вопросами про партию ССР. А "белые шляпы" - пошли тыкать в него своими щупами на уязвимости.
При этом всякого рода исследователи, в т.ч. из новости, сидели сложа руки, а инфа об этом всплывала в первую очередь от пользователей.
Это вообще не выдерживает никакой критики. Уязвимости разные. Пользователи не полезут SQL инъекции тестировать. А у опенИИ не было уязвимости, отдать чужой чат - это позорно, и плохо, но не открывает доступ ко ВСЕЙ базе.
Вы не понимаете - это другое
Люди не поставили на базу пароль. Заказывай, не заказывай, но пароль ставить надо.
Давайте от противного: это не выдумка, а утечка, потому что...? Ответ "дыра может быть найдена у любой компании и в любой момент" критики не выдерживает, как то слишком совпало с моментом хайпа... ;)
На самом деле - проверить ни то, ни это утверждение сейчас не выйдет. Если куда-то слита база, где я сам мог бы проверить наличие своей информации - было бы легко, но у нас только скриншоты, нарисовать которые - дело не хитрое. А при сливах у того же Яндекса были способы проверки самого факта слива через такую вот проверку информации о себе.
Давайте от противного: это не утечка, а выдумка, потому что ...?
Посмотрите, сколько раз Альтмана называли мошенником. Затем посмотрите, сколько раз Маска называли мошенником. А учитывая, что они называли мошенниками друг друга, я верю обоим. (Хоть это и звучит немного парадоксально).
Аминь, бро. Очень забавно наблюдать, как огромные компании строят под собой гору из кирпичей)
Зашуршали, как тараканы на свету. Во навели китайцы суеты)))
И правильно боятся, имхо, монополии рушатся
А почему это расследование внезапно появилось после падения американских акций, это очередной американский вброс для создания чувства ненадежности конкурента, и сделан он кучкой американских инвесторов! Бил Гейтс плачет, он же стока денег вбухал в Open, расследование начал. Это все очень сильно пахнет неспособным конкурировать дерьмецом из Америки 🇺🇸
Никаких критических данных эта база не содержит. Исследователи нашли "уязвимость", которая может быть потенциально опасна.
"Ключи" о которых написано - это ключи базы данных. "1 миллион строк" может показаться внушительным, но для логов это очень небольшой объем, при такой популярности ресурса. Это какая-то отладочная база. Поэтому и не закрыта.
задним местом чувствовал и не стал входить по логину гугла, а по домену почты почему-то не разрешили зарегистрироваться. судьба отвела.)
Все выводы которые стоит делать из этой ситуации зашифрованы в картинке выше. Она не совсем про доступность ваших данных через чат ИИ модели, но можно легко экстраполировать.
Ну вот по честному - допустим у вас есть две модели, одна дешевая и хорошая, другая дорогая и плохая(все совпадения случайны это именно для примера). В дешевой и хорошей кто-нибудь может увидеть ваши запросы. Вопрос - выберете дорогую и плохую? А что вы в ней такого делаете, что вас так бестокоит конфиденциальность данных? Сливаете в нее код из продакшена чтобы она за вас багу нашла? Ну так и в ту модель у которой база не слита пожалуй не стоит делать, м?
Ну вот по честному - допустим у вас есть две туалетные кабинки, одна дешевая и без двери, другая дорогая и с дверью(все совпадения случайны это именно для примера). В дешевой и без двери кто-нибудь может увидеть ваши ***. Вопрос - выберете дорогую и с дверью? А что вы в ней такого делаете, что вас так бестокоит конфиденциальность ***? Сливаете в нее *** из *** чтобы она за вас ***? Ну так и в той кабинке у которой есть дверь пожалуй не стоит делать, м?
Если даже все знают, что именно я делаю, это ещё не значит, что я хочу, чтобы это видели.
А вообще пример с кодом неудачный, просто потому что код "из продакшена" обычно не ваша собственность, и если вам разрешения не давали, то и разбрасываться им по чат-ботам не следует.
Пример немного не верный)
У вас есть две кабинки:
1) дешевая без двери, где кто угодно может видеть ваши ***
2)дорогая с дверью, где ваши *** может видеть владелец кабинки + в случае чего распоряжаться вашим *** для улучшения как текущей кабинки, так и всех остальных, в том числе, показывая ваши *** другим пользователям кто будет делать то же, что и вы в качестве примера
Я не к тому, что "вы не хотите отдать на досмотр полицейскому рюкзак, значит вам есть что скрывать" а к тому, что то, как корпорации НА САМОМ деле поступают с вашими персональными данными, отличается от прямого доступа к ним... ну почти никак. Так что вопрос был именно - "а вы что, в более "конфиденциальные де юре" нейронки что-то такое пишете, о чем можете пожалеть? А не зря ли?"
Я согласен, в общем случае неизвестно, что там творится с нашими данными "под капотом". Но всё-таки гораздо лучше иметь дело с компанией с грамотно составленным пользовательским соглашением, официально декларируемыми обязанностями и гарантиями и возможностью обратиться за защитой в случае чего, чем с напрочь слитой БД.
Да тут всё очевидно — сырой продукт, запущенный на скорую руку при поддержке китайских властей. Безопасность на нуле, база данных открыта, секретные ключи валяются в общем доступе. Но это не просто косяк, а часть большой игры: дешевый, субсидируемый ИИ, который выкинули на рынок, чтобы пошатнуть позиции США и влезть в сферу OpenAI, Nvidia и ко. Главное — быстрее запуститься, а там уже разберёмся.
После простой разведки общедоступной инфраструктуры DeepSeek мы обнаружили общедоступную базу данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации.
Товарищи из кликхаусха, подтвердите нам что база по умолчанию ставится без пароля, полностью открытой и не требует никакой аутентификации.
А то пока похоже на подрыв репутации не столько дипсика, сколько ClickHouse
А вы тоже устали от deepseek-сектантов?
Не очень понятно зачем чаты и секретные ключи хранить в кликхаусе? Больше похоже на ханейпот.
Но наличие кликхауса и гуляющие по сети скриншоты, где дипсик признаётся, что его разработал Яндекс, а китайскйи он выучил случайно, потому что плохо почистили датасет, всё это указывает, на тех кто реально стоит за deep seek.
зачем чаты и секретные ключи хранить в кликхаусе?
Ключи в СУБД — это атрибуты, которые вы используете для идентификации определенных строк в таблице, в дополнение к поиску связи между двумя таблицами.
всё это указывает, на тех кто реально стоит за deep seek
Ну то есть DeepSeek был создан Яндексом, но по какой-то причине компания решила отказаться от всей популярности и отдать все лавры Китаю? Звучит как очень нелепая теория заговора
А что не так?! У них же вроде открытый код, так почему базы данных должны быть засекречены или зашифрованы?
Пока что чем больше ДипСик ругают, тем больше он мне нравится.
Лишь бы только регистрацию не сделали бы замороченной, а оставили так, как сейчас. Боюсь, не ровен час, закроют.
Вообще, я считаю, чем больше нейросетей, тем лучше - будет, из чего выбрать.
В какое фантастическое время я живу! Вот и разговор с машиной стал реальностью.
Т.ч.т.д., короче.
Damage control в действии :))
На самом деле все может быть. Банальной причиной "бесплатных" пентестов может выступать хайп платформы, на который что-то найдут и компания по поиску уязвимостей получит, так сказать, +1 на доску побед.
Что как по мне нам сейчас это все дает:
1) Демонстрация того что можно лучше/дешевле/проще. Я не специалист по ИИ, не могу оценить реальную эффективность и не знаю существовали ли подобные продукты до этого, но если все заявленное действительно так, то это мысль на подумать для бизнеса и тех, кто использует текущие ИИ монополии. Увидим к чему этот толчок приведет.
2) Утечка данных и даже не через баги и открытые бд, а просто потому что хранятся за пол мира, где даже если сильно напрячься ничего не сделать. Понятно, что компании и так все хранят и кто знает что с данными делает, и все же выглядит все как-то стрёмно. Бесплатный сыр как говорится...
3) Все еще достаточно высокая заинтересованность общества в тематике ИИ. Хотя и OpenAI начала набивать оскомину, интерес все таки еще есть, а значит и развиваться есть куда, люди поддержат.
Заказухи и всего подобного в этому не могу увидеть, обычный хайп на волне которого все попытаются прокатиться так или иначе. Посмотрим как уляжется пыль и какая картина останется в итоге. Все пока слишком рано и сыро, что бы что-то утверждать и делать выводы.
Wiz Research обнаружила открытую БД ClickHouse на ресурсах DeepSeek