Исследователи обнаружили серьезную уязвимость в недавно выпущенной ИИ-модели DeepSeek-R1-Lite, которая позволяла через XSS (Cross-Site Scripting) атаковать учетные записи пользователей.
Уязвимость проявлялась при работе с внешними данными, такими как загруженные документы, и позволяла злоумышленникам получить доступ к токенам сессий.
Ключевой момент — использование специальной строки кода на JavaScript, которая обращалась к локальному хранилищу браузера и выводила токен сессии пользователя.
Для обхода систем защиты данные шифровались с помощью base64. Это помогало атаке оставаться незамеченной стандартными фильтрами безопасности.
После раскрытия проблемы, команда DeepSeek оперативно устранила уязвимость, продемонстрировав высокий уровень ответственности.
Впрочем, этот случай в очередной раз подчеркивает важность тестирования ИИ-моделей на безопасность перед их выпуском.
Источник: www.ferra.ru
Похожие новости:
Китайская лаборатория представила «рассуждающую» ИИ-модель, которая может стать конкурентом o1 от OpenAI
Открытая модель для кода DeepSeek-Coder-V2 на 16B и 236B. Теоретический конкурент для Codestral 22B
Представлена открытая модель для кода DeepSeek-Coder-V2 на 16B и 236B. Теоретический конкурент для Codestral 22B
Представлена открытая LLM модель для кода DeepSeek-Coder-V2 на 16B и 236B. Теоретический конкурент для Codestral 22B