O código-fonte do software de IA DeepSeek revela muitas surpresas

O que há de especial no DeepSeek é que o software é desenvolvido como código aberto, permitindo que a comunidade contribua e que os desenvolvedores incorporem essa ferramenta de IA em seus produtos.

No contexto de que o DeepSeek está "causando febre" globalmente, especialistas da empresa de segurança Wiz (EUA) revisaram cuidadosamente o código-fonte aberto desta ferramenta de IA.

Especialistas descobriram que esta ferramenta expõe muitos de seus bancos de dados importantes, incluindo logs do sistema, conteúdo de comandos do usuário e até mesmo tokens de autenticação de API (tokens de segurança para autenticar o acesso às interfaces de programação do DeepSeek)…

No total, mais de 1 milhão de registros de dados importantes do DeepSeek podem ser acessados ​​por pessoas de fora sem restrições. Notavelmente, esses dados podem ser encontrados por meio de algumas técnicas simples ao explorar o código-fonte, sem a necessidade de pesquisar profundamente e explorá-los de maneira complexa.

“Este foi um erro grave da DeepSeek porque o nível de segurança era muito baixo e tínhamos acesso muito alto, sem nenhuma restrição de permissões”, disse Ami Luttwak, CTO da Wiz.

“Isso mostra que o DeepSeek não é seguro o suficiente para que os usuários forneçam seus dados confidenciais e importantes”, acrescentou Luttwak.

Especialistas em segurança também estão preocupados que criminosos possam explorar esses bancos de dados vazados para penetrar mais profundamente no sistema do DeepSeek, executar códigos maliciosos para roubar informações do usuário ou manipular as respostas fornecidas por essa ferramenta de IA aos usuários.

“É chocante, do ponto de vista da segurança, construir um modelo de IA e deixar a porta dos fundos escancarada”, comentou Jeremiah Fowler, pesquisador de segurança independente, após ler o relatório publicado pela Wiz.

"Isso significa que qualquer pessoa com uma conexão à Internet pode acessar e manipular essa ferramenta de IA, o que representa um enorme risco para organizações e usuários", acrescentou Fowler.

Ainda não está claro se algum criminoso explorou os dados confidenciais vazados pelo DeepSeek para executar esquemas obscuros.

Os especialistas em segurança da Wiz tentaram entrar em contato com a DeepSeek para alertá-los sobre suas descobertas.

A DeepSeek permaneceu em silêncio e não respondeu. No entanto, mais de meia hora após o relatório ter sido enviado por e-mail, os especialistas da Wiz descobriram que os dados vazados no código-fonte da DeepSeek não estavam mais acessíveis, o que significa que a DeepSeek havia intervindo para resolver o problema.

A DeepSeek é uma startup fundada em 2023 por Luong Van Phong. A empresa tem sede em Hangzhou, China.

Em 20 de janeiro, a DeepSeek lançou uma ferramenta de IA chamada R1 para seus usuários. Essa ferramenta imediatamente "causou febre" globalmente graças à sua impressionante e rápida capacidade de resposta.

Muitos usuários também avaliam o DeepSeek R1 como um aplicativo que fornece respostas mais inteligentes, precisas e rápidas do que outras ferramentas de IA, como ChatGPT, Gemini ou Llama...

O que torna o DeepSeek mais surpreendente é que esse modelo de IA custa apenas 5,6 milhões de dólares para ser construído e operado, enquanto empresas de tecnologia dos EUA estão gastando centenas, até bilhões de dólares para desenvolver e operar seus próprios modelos de IA.

Outro ponto que faz o DeepSeek chamar a atenção do mundo da tecnologia é que essa ferramenta de IA nasceu e se desenvolveu em um momento em que o governo americano aplicava sanções, impedindo o fornecimento de chips de IA de alto desempenho para empresas chinesas.

Isso significa que o DeepSeek foi desenvolvido e roda em chips de IA de baixo desempenho, mas ainda demonstra uma potência impressionante.

O surgimento do DeepSeek promete criar uma corrida acirrada no desenvolvimento de IA entre as duas superpotências, os EUA e a China.

No entanto, além da alta apreciação, muitas pessoas estão preocupadas que o DeepSeek seja uma ferramenta do governo de Pequim para coletar informações do usuário por meio de perguntas ou respostas favoráveis ​​às políticas chinesas.