O código-fonte do software de IA DeepSeek revela muitas surpresas

O que há de especial no DeepSeek é que o software é desenvolvido como código aberto, permitindo que a comunidade contribua e que os desenvolvedores incorporem essa ferramenta de IA em seus produtos.

No contexto de que o DeepSeek está "causando uma febre" globalmente, especialistas da empresa de segurança Wiz (EUA) revisaram cuidadosamente o código-fonte aberto desta ferramenta de IA.

Especialistas descobriram que a ferramenta expôs muitos de seus bancos de dados importantes, incluindo logs do sistema, conteúdos de comandos do usuário e até mesmo tokens de autenticação de API (tokens de segurança usados ​​para autenticar o acesso às interfaces de programação do DeepSeek)…

No total, mais de 1 milhão de registros de dados importantes do DeepSeek podem ser acessados ​​por terceiros sem quaisquer restrições. Notavelmente, esses dados podem ser encontrados por meio de algumas pequenas técnicas ao explorar o código-fonte, em vez de ter que pesquisar profundamente e explorá-los de forma complexa.

“Este foi um erro grave da DeepSeek porque o nível de segurança era muito baixo e tínhamos acesso muito alto, sem nenhuma restrição de permissões”, disse Ami Luttwak, CTO da Wiz.

"Isso mostra que o DeepSeek não é seguro o suficiente para que os usuários forneçam seus dados confidenciais e importantes", acrescentou Luttwak.

Especialistas em segurança também se preocupam que criminosos possam explorar esses bancos de dados vazados para penetrar mais profundamente no sistema do DeepSeek, executar códigos maliciosos para roubar informações do usuário ou manipular as respostas fornecidas por essa ferramenta de IA aos usuários.

“É chocante, do ponto de vista da segurança, construir um modelo de IA e deixar a porta dos fundos aberta”, comentou Jeremiah Fowler, pesquisador de segurança independente, após ler o relatório publicado pela Wiz.

“Isso significa que qualquer pessoa com uma conexão à Internet pode acessar e manipular essa ferramenta de IA, o que representa um grande risco para organizações e usuários”, acrescentou Fowler.

Ainda não está claro se algum criminoso se aproveitou dos dados confidenciais vazados do DeepSeek para executar esquemas obscuros.

Especialistas em segurança da Wiz tentaram entrar em contato com a DeepSeek para alertá-los sobre suas descobertas.

A DeepSeek permaneceu em silêncio e não respondeu. No entanto, mais de meia hora após o relatório ter sido enviado por e-mail, os especialistas da Wiz descobriram que os dados vazados no código-fonte da DeepSeek não estavam mais acessíveis, o que significa que a DeepSeek havia intervindo para resolver o problema.

A DeepSeek é uma startup fundada em 2023 por Luong Van Phong. A empresa tem sede em Hangzhou, China.

Em 20 de janeiro, a DeepSeek lançou uma ferramenta de IA chamada R1 para seus usuários. Essa ferramenta imediatamente "causou febre" globalmente graças à sua capacidade de resposta rápida e impressionante.

Muitos usuários também avaliam o DeepSeek R1 como um aplicativo que fornece respostas mais inteligentes, precisas e rápidas do que outras ferramentas de IA, como ChatGPT, Gemini ou Llama...

O que torna o DeepSeek mais surpreendente é que esse modelo de IA custou apenas US$ 5,6 milhões para ser construído e operado, enquanto empresas de tecnologia dos EUA estão gastando centenas, até bilhões de dólares para desenvolver e operar seus próprios modelos de IA.

Outro ponto que faz o DeepSeek chamar a atenção do mundo da tecnologia é que essa ferramenta de IA nasceu e se desenvolveu em um momento em que o governo dos EUA aplicava sanções, impedindo o fornecimento de chips de IA de alto desempenho para empresas chinesas.

Isso significa que o DeepSeek foi desenvolvido e roda em chips de IA de baixo desempenho, mas ainda mostra uma potência impressionante.

O surgimento do DeepSeek promete criar uma corrida acirrada no desenvolvimento de IA entre as duas superpotências, os EUA e a China.

No entanto, além da alta apreciação, muitas pessoas estão preocupadas que o DeepSeek seja uma ferramenta do governo de Pequim para coletar informações do usuário por meio de perguntas ou respostas favoráveis ​​às políticas chinesas.