Investigação revela falhas graves de segurança na DeepSeek
Fevereiro 1, 2025Uma recente investigação descobriu que a DeepSeek, startup chinesa responsável pelo modelo de IA R1, possui vulnerabilidades críticas em sua segurança. Pesquisadores identificaram um banco de dados público acessível, sem autenticação, permitindo que qualquer pessoa obtivesse informações confidenciais e até assumisse controle total da infraestrutura da empresa.
A DeepSeek ganhou destaque rapidamente ao lançar seu modelo R1 AI, rivalizando com gigantes como ChatGPT (OpenAI) e Llama (Meta). Treinado com custos muito menores, o modelo se tornou um fenômeno global, chegando ao topo dos aplicativos gratuitos na Apple App Store nos EUA e alcançando a 10ª posição na Play Store. No entanto, essa ascensão meteórica foi seguida por uma grave brecha de segurança.
Banco de dados exposto sem proteção
Segundo um relatório publicado pela empresa de segurança Wiz, a equipe de pesquisa encontrou, em poucos minutos, um banco de dados ClickHouse acessível publicamente e sem qualquer tipo de autenticação. Essa falha expôs informações sensíveis, como:
- Histórico de conversas dos usuários
- Dados de back-end e logs operacionais
- Credenciais de API
- Fluxos internos de processamento
Além disso, os pesquisadores afirmam que essa vulnerabilidade permitia a escalada de privilégios dentro do ambiente da DeepSeek, possibilitando que invasores assumissem o controle dos servidores e acessassem dados privados e proprietários.
Riscos para usuários e para a própria DeepSeek
As consequências dessa falha vão além da exposição de dados dos usuários. Segundo a Wiz, atacantes poderiam roubar credenciais, interceptar mensagens privadas e acessar arquivos sensíveis da empresa.
Essa grave falha de segurança levanta dúvidas sobre a confiabilidade da DeepSeek e pode comprometer a confiança de seus usuários. Se você não se sente seguro utilizando a plataforma, há diversas alternativas no mercado.
