Uma investigação recente revelou sérias vulnerabilidades de segurança na DeepSeek, startup chinesa que ganhou destaque com seu modelo de inteligência artificial (IA) R1. O relatório, divulgado pela empresa de segurança em nuvem Wiz, aponta que uma base de dados da DeepSeek estava acessível publicamente e sem qualquer tipo de autenticação, expondo informações sensíveis e colocando em risco a segurança da empresa e de seus usuários.
A ascensão da DeepSeek no mercado de IA foi notável, com seu modelo R1 competindo com gigantes como o ChatGPT, da OpenAI, e o Llama, da Meta. Contudo, a descoberta de falhas graves de segurança levanta preocupações sobre a proteção dos dados e a integridade do sistema. A investigação da Wiz constatou que, em poucos minutos, foi possível acessar uma base de dados ClickHouse conectada à DeepSeek, que estava totalmente aberta e sem qualquer proteção. Essa exposição permitiu o acesso a um vasto leque de informações confidenciais, incluindo histórico de conversas, dados de backend, segredos de API, fluxos de log e detalhes operacionais.
De acordo com o relatório da Wiz, a falta de segurança permitiu que pesquisadores obtivessem controle total da base de dados, além da possibilidade de escalar privilégios dentro do ambiente da DeepSeek, tudo isso sem qualquer mecanismo de autenticação ou defesa contra acessos externos. Essa situação crítica não só coloca os usuários em risco, mas também a própria segurança da DeepSeek. Um invasor poderia, por exemplo, roubar logs e mensagens de bate-papo confidenciais, bem como obter acesso a senhas e arquivos locais relacionados a informações proprietárias.
Conclusão do relatório sobre a DeepSeek
O relatório da Wiz conclui que a DeepSeek precisa corrigir urgentemente essas falhas de segurança. A boa notícia é que, para aqueles que se sentem inseguros em utilizar o sistema da DeepSeek, existem diversas alternativas disponíveis no mercado. O incidente levanta um alerta sobre a importância da segurança cibernética no desenvolvimento de sistemas de inteligência artificial e a necessidade de priorizar a proteção dos dados em um cenário onde a tecnologia avança rapidamente. Confira o relatório completo da Wiz sobre a investigação.
