DeepSeek: brecha de segurança expôs dados sensíveis de IA chinesa
Tecmundo
A plataforma de inteligência artificial (IA) DeepSeek, que virou um fenômeno nos últimos dias e desbancou até rivais já consolidadas, apresentou uma grave falha de segurança nos servidores. Vários dados sensíveis aparentemente estavam expostos, incluindo informações privadas e importantes para o funcionamento do serviço.
A denúncia foi feita pela israelense Wiz, uma empresa de cibersegurança e que fornece ferramentas de proteção digital. De acordo com a postagem no blog da companhia, ela conseguiu acesso a uma base de dados do sistema de gerenciamento ClickHouse com bastante facilidade e os resultados preocupam.
Após a descoberta, a equipe da Wiz contatou a DeepSeek, que fechou a vulnerabilidade rapidamente. Até o momento, porém, a empresa chinesa não se manifestou oficialmente sobre o caso. A empresa russa Yandex, dona do gerenciador ClickHouse, também não comentou a denúncia.
A DeepSeek chegou a sofrer "ataques maliciosos contra os servidores" no começo da semana, mas não chegou a detalhar o que aconteceu — como uma invasão de fato ou se se houve somente uma sobrecarga forçada nos acessos.
O que estava exposto na DeepSeek?
Segundo o relatório, as informações contidas na base de dados sem proteção incluíam histórico de conversa com o chatbot, chaves secretas da API da ferramenta, detalhes de funcionamento do backend da plataforma e outras informações importantes, como metadados gerados pelas interações.
Todos esses dados estavam em texto simples e não criptografado, o que significa que invasores mal intencionados facilmente conseguiriam acesso a esse conteúdo. Por enquanto, não há informações sobre acessos não autorizados para além dos testes realizados pela Wiz.
A brecha é considerada "crítica" tanto para usuários quanto para a DeepSeek, já que outras tentativas similares de acesso poderiam levar à obtenção de ainda mais dados — talvez até documentos privados e senhas, por exemplo.
A Wiz termina o texto fazendo um alerta a empresas que já estejam usando a API da DeepSeek ou até de outras empresas de IA. Segundo os pesquisadores, a adoção rápida demais desse tipo de serviço e a alimentação deles com dados e documentos sensíveis, especialmente corporativos, significa também o aumento nos riscos a roubos e vazamentos.
