मल्टी-लाइसेंस छूट उद्धरण
कंप्यूटर सुरक्षा डीपसीक सुरक्षा उल्लंघन से एआई कमजोरियां उजागर हुईं और...

डीपसीक सुरक्षा उल्लंघन से एआई कमजोरियां उजागर हुईं और साइबर हमले भड़के

Mura से कंप्यूटर सुरक्षा तक
अनुवाद करने के लिए:
हिन्दी

चीन का नवीनतम जनरेटिव AI, डीपसीक, अपने लॉन्च के बाद से ही गहन साइबर सुरक्षा जांच का विषय रहा है। सुरक्षा शोधकर्ताओं ने हाल ही में एक सिस्टम प्रॉम्प्ट जेलब्रेक को उजागर किया, जिसने मॉडल के अंदरूनी कामकाज को उजागर किया। इस बीच, डीपसीक को DDoS हमलों की लहरों का भी सामना करना पड़ा, जिससे इसे नए उपयोगकर्ता पंजीकरण को प्रतिबंधित करने के लिए मजबूर होना पड़ा। ये घटनाएँ AI मॉडल के सुरक्षा जोखिमों और AI सेवाओं को लक्षित करने वाले साइबर हमलों की बढ़ती परिष्कृतता दोनों को उजागर करती हैं।

डीपसीक का सिस्टम प्रॉम्प्ट जेलब्रेक: शोधकर्ताओं ने क्या खोजा

डीपसीक के शुरू होने के कुछ समय बाद ही, API सुरक्षा फर्म वॉलर्म के शोधकर्ताओं ने एक जेलब्रेक भेद्यता पाई जिसने AI मॉडल के पूरे सिस्टम प्रॉम्प्ट को उजागर कर दिया। इस प्रकार की सुरक्षा खामी विशेष रूप से चिंताजनक है क्योंकि AI का सिस्टम प्रॉम्प्ट उसके व्यवहार, प्रतिक्रिया सीमाओं और सामग्री मॉडरेशन नीतियों को निर्धारित करता है। चैटजीपीटी के साथ ओपनएआई सहित अधिकांश AI डेवलपर्स इस तरह के लीक को रोकने के लिए सख्त कदम उठाते हैं।

वॉलर्म ने 1 फरवरी को एक ब्लॉग पोस्ट में कहा कि उसके जेलब्रेक विधि ने पक्षपात-आधारित एआई प्रतिक्रिया तर्क का फायदा उठाया, हालांकि कंपनी ने जिम्मेदार प्रकटीकरण नीतियों के कारण विशिष्ट तकनीकी विवरण को रोक दिया। डीपसीक को इस मुद्दे के बारे में सूचित किया गया था और तब से उसने एक फिक्स तैनात किया है। हालांकि, वॉलर्म ने पूरा सिस्टम प्रॉम्प्ट टेक्स्ट प्रकाशित किया, जिससे सुरक्षा विशेषज्ञों को डीपसीक के परिचालन ढांचे का विश्लेषण करने की अनुमति मिली।

इस खुलासे से निम्नलिखित विषयों पर चर्चा शुरू हो गई:

  • एआई गोपनीयता उपाय और डीपसीक कितनी प्रभावी रूप से उपयोगकर्ता डेटा की सुरक्षा करता है।
  • डीपसीक के प्रशिक्षण में संभावित पूर्वाग्रह , विशेष रूप से इस दावे पर विचार करते हुए कि इसने प्रशिक्षण के लिए ओपनएआई डेटा का उपयोग किया हो सकता है।
  • विनियामक बाधाएं एआई मॉडल के संचालन को प्रभावित कर सकती हैं, विशेष रूप से चीन में, जहां एआई विषय-वस्तु पर कड़ा नियंत्रण है।

ओपनएआई के संभावित प्रभाव की जांच करने के लिए, वॉलर्म ने डीपसीक के सिस्टम प्रॉम्प्ट की तुलना चैटजीपीटी से की। चैटजीपीटी के विश्लेषण के अनुसार, डीपसीक के जवाब सख्त अनुपालन उपायों के अनुरूप हैं, जबकि ओपनएआई का दृष्टिकोण अधिक लचीला और उपयोगकर्ता-केंद्रित है।

डीपसीक पर DDoS हमले: एक समन्वित साइबर हमला

जैसे-जैसे डीपसीक की लोकप्रियता बढ़ती गई, यह बड़े पैमाने पर वितरित सेवा निषेध (DDoS) हमलों का लक्ष्य बन गया। कंपनी ने घोषणा की कि हमलों की भारी मात्रा के कारण उसे नए उपयोगकर्ता पंजीकरण को रोकना पड़ा।

हमलों की निगरानी करने वाली साइबर सुरक्षा फर्म NSFocus के अनुसार, DeepSeek को 25, 26 और 27 जनवरी को अपने API इंटरफ़ेस को लक्षित करते हुए DDoS हमलों की तीन बड़ी लहरों का सामना करना पड़ा। प्रत्येक हमला लगभग 35 मिनट तक चला, जिससे DeepSeek के प्लेटफ़ॉर्म पर गंभीर प्रभाव पड़ा। 28 जनवरी तक, चल रहे व्यवधानों के कारण API इंटरफ़ेस अभी भी अनुपलब्ध था।

डीपसीक चैट सिस्टम पर भी हमला किया गया, 20 और 25 जनवरी को DDoS हमले हुए, जिनमें से प्रत्येक लगभग एक घंटे तक चला।

DDoS हमले के तरीके

एनएसफोकस ने कई प्रतिबिंब-आधारित हमले तकनीकों की पहचान की, जिनमें शामिल हैं:

  • एनटीपी रिफ्लेक्शन हमले - हमले के ट्रैफ़िक को बढ़ाने के लिए नेटवर्क टाइम प्रोटोकॉल (एनटीपी) सर्वर का शोषण करना।
  • मेमकैच्ड रिफ्लेक्शन हमले - डीपसीक पर भारी मात्रा में ट्रैफिक लाने के लिए गलत तरीके से कॉन्फ़िगर किए गए मेमकैच्ड सर्वर का उपयोग करना।
  • एसएसडीपी रिफ्लेक्शन हमले - नेटवर्क संसाधनों पर कब्ज़ा करने के लिए सरल सेवा खोज प्रोटोकॉल (एसएसडीपी) सेवाओं को लक्ष्य बनाना।
  • CLDAP रिफ्लेक्शन हमले - हमले की मात्रा बढ़ाने के लिए कनेक्शन-रहित लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल (CLDAP) सर्वर का लाभ उठाना।

एक अत्यंत समन्वित हमला

28 जनवरी तक, डीपसीक ने रिपोर्ट किया कि हमलावर कंपनी के शमन प्रयासों के जवाब में अपने तरीकों को अनुकूलित कर रहे थे। इन हमलों की सटीकता और समन्वय ने NSFocus को यह निष्कर्ष निकालने के लिए प्रेरित किया कि अपराधी यादृच्छिक हैकर्स के बजाय एक पेशेवर, सुव्यवस्थित टीम थे।

एनएसफोकस ने कहा, "हमलावर लक्ष्य के चयन से लेकर हमले के समय और तीव्रता को नियंत्रित करने तक, हर हमले के चरण में अत्यंत उच्च व्यावसायिकता दिखाता है।"

साइबर सुरक्षा फर्म के विश्लेषण के अनुसार, शीर्ष हमले के स्रोतों में संयुक्त राज्य अमेरिका, यूनाइटेड किंगडम और ऑस्ट्रेलिया के सिस्टम शामिल थे।

एआई सुरक्षा के लिए इसका क्या मतलब है

डीपसीक की घटनाएं जनरेटिव एआई में बढ़ते साइबर सुरक्षा जोखिमों को उजागर करती हैं। जेलब्रेक कमजोरियों से लेकर लक्षित साइबर हमलों तक, एआई सेवाएँ अब सुरक्षा शोधकर्ताओं और दुर्भावनापूर्ण अभिनेताओं दोनों के लिए प्रमुख लक्ष्य हैं।

चाबी छीनना:

  1. एआई जेलब्रेक एक सुरक्षा चुनौती बनी हुई है - यहां तक कि डीपसीक जैसे नए एआई मॉडल को भी उनके आंतरिक तर्क को उजागर करने के लिए रिवर्स-इंजीनियर किया जा सकता है।
  2. एआई प्लेटफॉर्मों के विरुद्ध डीडीओएस हमले बढ़ रहे हैं - जैसे-जैसे एआई सेवाएं लोकप्रिय होती जा रही हैं, वे अधिक समन्वित साइबर हमलों को आकर्षित कर रहे हैं।
  3. एआई सुरक्षा को तेजी से विकसित किया जाना चाहिए - डेवलपर्स को त्वरित लीक को रोकने और साइबर खतरों से बचाव के लिए मजबूत सुरक्षा उपायों को लागू करना चाहिए।

चूंकि एआई डिजिटल परिदृश्य को आकार दे रहा है, इसलिए साइबर सुरक्षा टीमों को यह सुनिश्चित करने के लिए एक कदम आगे रहना होगा कि एआई मॉडल सुरक्षित रहें और उभरते खतरों के प्रति लचीले बने रहें।

लोड हो रहा है...