Son dönemde yapay zeka alanında büyük ses getiren DeepSeek, sunduğu yüksek performanslı büyük dil modeliyle dikkat çekti. Ancak, DeepSeek’in güvenlik zafiyetleri ve veri sızıntıları, bu platformun uluslararası düzeyde ciddi incelemelere tabi tutulmasına ve hatta yasaklanmasına yol açtı. Çin merkezli bu yapay zeka girişimi, özellikle düşük maliyetle gelişmiş AI çözümleri sunduğunu iddia ederek kullanıcılar arasında büyük bir ilgi görse de yaşanan güvenlik olayları nedeniyle devletlerin ve büyük şirketlerin radarına takıldı.
Bu yazımızda, DeepSeek’in yaşadığı iki büyük güvenlik olayını derinlemesine analiz edeceğiz. İlk olarak, Tayvan’ın DeepSeek’i ulusal güvenlik riski olarak değerlendirmesi ve devlet kurumlarında yasaklaması sürecini ele alacağız. Ardından, Wiz Research tarafından ortaya çıkarılan DeepSeek’in herkese açık veritabanı açığını ve bu açığın potansiyel etkilerini değerlendireceğiz.
DeepSeek’in Devletler Tarafından Yasaklanması ve Siber Güvenlik Riskleri
Tayvan’ın DeepSeek’i Yasaklaması
Tayvan Dijital İşler Bakanlığı, DeepSeek yapay zeka platformunun devlet kurumlarında kullanılmasını yasakladı. Bu kararın gerekçesi olarak, DeepSeek’in Çin menşeli bir ürün olması ve veri sızıntısı riski taşıması gösterildi. Tayvan hükümetine göre, platformun çalıştırılması, sınır ötesi veri iletimi, bilgi güvenliği tehditleri ve casusluk riskleri içeriyordu.
Bu yasak, Çin hükümeti ile bağlantılı olabileceği düşünülen AI şirketlerinin, kritik devlet kurumlarında kullanılmasının ulusal güvenliği tehlikeye atabileceği yönündeki küresel endişelerin bir parçası olarak değerlendirildi. Çin’in ulusal güvenlik yasaları, ülkesinde faaliyet gösteren şirketleri istihbarat servisleriyle iş birliği yapmaya zorlayabiliyor. Bu nedenle, ABD, Avrupa Birliği ve birçok Asya ülkesi, Çin menşeli teknolojilere karşı daha temkinli davranıyor.
DeepSeek’e Karşı Küresel Şüphe ve Kısıtlamalar
Tayvan yalnızca bir başlangıçtı. Daha önce İtalya, DeepSeek’in veri işleme yöntemlerindeki belirsizlikler nedeniyle platformu yasakladı. Benzer şekilde, bazı büyük teknoloji şirketleri ve kurumlar da, bilgi güvenliği endişeleri nedeniyle DeepSeek’i sistemlerinden çıkardılar.
DeepSeek’in yaşadığı bir diğer güvenlik endişesi ise büyük dil modellerinin çeşitli jailbreak tekniklerine karşı savunmasız olmasıydı. Siber güvenlik uzmanları, Çin hükümeti tarafından sansürlenen konulara verilen yanıtların manipüle edilebileceğini ve sistemin kötü niyetli aktörler tarafından hacklenerek yanlış bilgi yaymak için kullanılabileceğini belirtti.
DeepSeek’in popülaritesinin artması, aynı zamanda büyük ölçekli kötü amaçlı saldırıları da beraberinde getirdi. 25-27 Ocak 2025 tarihleri arasında, DeepSeek API’sine yönelik üç büyük Dağıtılmış Hizmet Reddi (DDoS) saldırısı gerçekleştirildi. NSFOCUS, bu saldırıların ABD, İngiltere ve Avustralya’dan kaynaklandığını ve büyük ölçüde NTP yansıma saldırıları ve memcached yansıma saldırıları içerdiğini belirtti.
Bu gelişmeler, DeepSeek’in güvenlik açıklarını gidermesi gerektiğini açıkça gösterdi. Ancak, platformun şeffaflık eksikliği ve riskleri zamanında önleyememesi, devletler ve büyük şirketler nezdinde güvenilirliğini kaybetmesine neden oldu.
Wiz Research Tarafından Açıklanan DeepSeek Veritabanı Açığı
Halka Açık Veritabanı ve Sızdırılan Veriler
Güvenlik araştırma şirketi Wiz Research, DeepSeek’e ait kritik verileri içeren herkese açık bir ClickHouse veritabanı keşfetti. Bu veritabanı, herhangi bir kimlik doğrulama gerektirmeden sohbet geçmişleri, API anahtarları, arka uç detayları ve diğer hassas bilgileri erişime açıyordu. Bir milyondan fazla günlük kaydı, herhangi bir koruma olmaksızın dış dünyaya ifşa edilmişti.
Bu açık, saldırganlara tam veritabanı kontrolü sağlama ve potansiyel ayrıcalık yükseltme imkanı sundu. Yani, kötü niyetli bir kişi, DeepSeek’in sistemlerine doğrudan müdahale edebilir, kullanıcı sohbet geçmişlerine erişebilir ve platformun kritik bileşenlerini değiştirebilirdi.
Veritabanı Açığının Teknik Analizi
Wiz Research ekibi, DeepSeek’e ait halka açık alan adlarını analiz ederken, oauth2callback.deepseek.com:9000 ve dev.deepseek.com:9000 adreslerinde kimlik doğrulaması gerektirmeyen bir veritabanına rastladı. Bu veritabanı, standart HTTP portlarının ötesinde 8123 ve 9000 numaralı portlardan erişime açıktı.
ClickHouse’un HTTP arayüzünü kullanan araştırmacılar, tarayıcı üzerinden SQL sorguları çalıştırarak aşağıdaki kritik bilgileri içeren tablolara erişebildiler:
- Sohbet Geçmişleri: Kullanıcıların AI ile yaptığı konuşmaların tam metinleri
- API Anahtarları: DeepSeek’in arka uç sistemlerine erişim sağlayan kritik anahtarlar
- İşlem Günlükleri: DeepSeek’in iç işleyişine dair sistem günlükleri
- Gizli Dosyalar: Veritabanı sunucusunda saklanan kritik dosyalar
Wiz Research, açığı tespit eder etmez DeepSeek’e bildirdi. DeepSeek, hızlı bir şekilde güvenlik önlemleri alarak veritabanını koruma altına aldı. Ancak, bu olay platformun güvenilirliğine ciddi bir darbe vurdu.
Veritabanı açığının ortaya çıkması, AI güvenliği konusunda daha geniş çaplı endişeleri de beraberinde getirdi. Avrupa Birliği, 2 Şubat 2025’ten itibaren yürürlüğe girecek olan Yapay Zeka Yasası ile bu tür güvenlik açıklarına sahip AI sistemlerini yasaklama kararı aldı. İngiltere hükümeti ise yapay zeka sistemlerini bilgisayar korsanlığına karşı korumak amacıyla yeni bir AI Uygulama Tüzüğü yayınladı.
Meta gibi büyük teknoloji şirketleri, güvenlik riskleri yüksek olan AI projelerinin durdurulacağını duyurdu. Bu gelişmeler, AI sistemlerinin kötüye kullanılmasını önlemek için daha sıkı düzenlemelere ihtiyaç duyulduğunu gösteriyor.
Dijital dünyada güvenlik en büyük öncelik olmalıdır. Szutest Teknoloji olarak, sızma testi hizmetlerimiz ile sistemlerinizin güvenlik açıklarını tespit edip gerekli önlemleri almanızı sağlıyoruz. Güvenlik açıklarınızı minimize etmek ve sistemlerinizi koruma altına almak için cyber@szutestteknoloji.com.tr adresinden bizimle iletişime geçebilirsiniz.
