Все началось с простого эксперимента, кто-то заметил: если в веб-интерфейсе DeepSeek переключиться в быстрый режим, отключить поиск по сети и написать в поле ввода <think — система начинает возвращать фрагменты чужих сессий. Не случайный слоп, а настоящие цепочки рассуждений других людей: кто-то делится душевными переживаниями и изливает душу в чате со всеми подробностями, кто-то просит разобрать рабочую задачу, кто-то лпанирует отпуск и видны все личные данные и предпочтения.
Чтобы понять, почему это вообще возможно, нужно знать одну деталь. Модели вроде DeepSeek R1 используют так называемый режим «внутреннего монолога» — перед финальным ответом система строит цепочку рассуждений, которая обычно скрыта от пользователя. Тег <think — это служебная метка, с которой эта цепочка начинается внутри модели. Когда пользователь вводит ее вручную, сервер, судя по всему, воспринимает это как сигнал продолжить чужой незавершенный контекст — и выдает его содержимое.
Проще говоря: разные пользователи работают в одном общем «котле», и у платформы нет барьера, который не позволял бы одному запросу случайно зацепить данные другого. Это не атака через уязвимость в коде авторизации — это архитектурный просчет на уровне обработки контекста.
У пользователей, которые проверяли баг на экранах появлялись разные сценарии. Судя по отчетам, картина разнообразная: английские тесты с вариантами ответов, юридические задачи, рассуждения об услугах и ценах, а в одном случае — сведения из китайской астрологии, которые пользователь явно не собирался никому показывать. Десятки человек в социальных сетях подтвердили, что сам баг воспроизводится стабильно.
Показательно, что аналогичную проверку устроили на других крупных платформах — GPT, Claude, Gemini и прочих. Ни одна из них похожего поведения не показала, и DeepSeek оказался в этом смысле одиночкой.
К моменту публикации компания так и не прокомментировала ситуацию публично, а уязвимость продолжает работать. Это особенно важно учитывать тем, кто использует платформу для рабочих или личных задач: любой запрос теоретически может оказаться в чужом сеансе. Пока сервис не закроет брешь на уровне изоляции пользовательских сессий, риск сохраняется для всех, кто пользуется веб-версией.
Также недавно писали, что самый мощный ИИ на Земле смог взломать macOS. Подробности в статье.
