Le code source du logiciel d'IA DeepSeek révèle de nombreuses surprises.

Ce qui rend DeepSeek si particulier, c'est que le logiciel est développé en open source, permettant à la communauté de participer et aux développeurs d'intégrer cet outil d'IA dans leurs produits.

Face à l'engouement mondial suscité par DeepSeek, des experts de la société de sécurité américaine Wiz ont mené une analyse approfondie du code source ouvert de cet outil d'IA.

Les experts ont découvert que cet outil exposait un grand nombre de leurs bases de données critiques, notamment les journaux système, le contenu des commandes utilisateur et même les jetons d'authentification API (codes de sécurité utilisés pour accéder aux interfaces de programmation de DeepSeek)...

Au total, plus d'un million d'enregistrements de données critiques de DeepSeek sont accessibles sans restriction à des tiers. Il est à noter que ces données peuvent être trouvées grâce à quelques techniques simples d'exploitation du code source, sans nécessiter de recherche approfondie ni d'exploitation complexe.

« Il s'agit d'une grave erreur de la part de DeepSeek, car le niveau de sécurité était très faible et nous disposions d'un accès très étendu sans aucune restriction de privilèges », a déclaré Ami Luttwak, directeur technique de Wiz.

« Cela montre que DeepSeek n'est pas suffisamment sécurisé pour que les utilisateurs puissent y fournir des données sensibles et importantes », a ajouté Luttwak.

Les experts en sécurité craignent également que des acteurs malveillants puissent exploiter ces bases de données divulguées pour obtenir un accès plus profond aux systèmes de DeepSeek, exécuter du code malveillant pour voler des informations sur les utilisateurs ou manipuler les réponses fournies par l'outil d'IA aux utilisateurs.

« Du point de vue de la sécurité, il est choquant de concevoir un modèle d'IA et de laisser une faille de sécurité béante », a commenté Jeremiah Fowler, chercheur indépendant en sécurité, après avoir lu le rapport publié par Wiz.

« Cela signifie que toute personne disposant d'une connexion internet peut accéder à cet outil d'IA et le manipuler, ce qui représente un risque important pour les organisations et les utilisateurs », a ajouté Fowler.

On ignore encore si des individus malveillants ont exploité les données sensibles divulguées par DeepSeek pour mener à bien des projets malhonnêtes.

Les experts en sécurité de Wiz ont tenté de contacter DeepSeek pour les avertir de leurs découvertes.

DeepSeek est resté silencieux et n'a fourni aucune réponse. Cependant, plus d'une demi-heure après l'envoi du signalement par courriel, les experts de Wiz ont constaté que les données divulguées dans le code source de DeepSeek n'étaient plus accessibles, ce qui signifiait que DeepSeek était intervenu pour résoudre le problème.

DeepSeek est une start-up fondée en 2023 par Luong Van Phong. L'entreprise est basée à Hangzhou, en Chine.

Le 20 janvier, DeepSeek a lancé son outil d'IA, R1, auprès des utilisateurs. Grâce à sa rapidité et à ses performances exceptionnelles, cet outil a immédiatement connu un succès mondial.

De nombreux utilisateurs estiment également que DeepSeek R1 fournit des réponses plus intelligentes, plus précises et plus rapides que d'autres outils d'IA comme ChatGPT, Gemini ou Llama…

Ce qui rend DeepSeek si étonnant, c'est que ce modèle d'IA n'a coûté que 5,6 millions de dollars à construire et à exploiter, alors que les entreprises technologiques américaines dépensent des centaines de millions, voire des milliards de dollars, pour développer et exploiter leurs propres modèles d'IA.

Une autre raison pour laquelle DeepSeek a attiré l'attention du monde de la technologie est que cet outil d'IA a été créé et développé à un moment où le gouvernement américain imposait des sanctions, bloquant la fourniture de puces d'IA haute performance aux entreprises chinoises.

Cela signifie que DeepSeek est développé et fonctionne sur des puces d'IA à faibles performances, mais démontre tout de même une puissance impressionnante.

L'émergence de DeepSeek promet de créer une course féroce dans le développement de l'IA entre les deux superpuissances, les États-Unis et la Chine.

Cependant, malgré les éloges, nombreuses sont les personnes qui s'inquiètent du fait que DeepSeek soit un outil utilisé par le gouvernement de Pékin pour collecter des informations sur les utilisateurs via des questions ou des réponses qui servent la politique chinoise.