DeepSeek: brecha de segurança expôs milhões de dados sensíveis de IA chinesa

A plataforma de inteligência artificial (IA) DeepSeek, que virou um fenômeno nos últimos dias e desbancou até rivais já consolidadas, apresentou uma grave falha de segurança nos servidores. Vários dados sensíveis aparentemente estavam expostos, incluindo informações privadas e importantes para o funcionamento do serviço.

A denúncia foi feita pela israelense Wiz, uma empresa de cibersegurança e que fornece ferramentas de proteção digital. De acordo com a postagem no blog da companhia, ela conseguiu acesso a uma base de dados do sistema de gerenciamento ClickHouse com bastante facilidade e os resultados preocupam.

• Leia também: DeepSeek realmente tem respostas censuradas pela China, testou o TecMundo

Após a descoberta, a equipe da Wiz contatou a DeepSeek, que fechou a vulnerabilidade rapidamente. Até o momento, porém, a empresa chinesa não se manifestou oficialmente sobre o caso. A empresa russa Yandex, dona do gerenciador ClickHouse, também não comentou a denúncia.

A DeepSeek chegou a sofrer "ataques maliciosos contra os servidores" no começo da semana, mas não chegou a detalhar o que aconteceu — como uma invasão de fato ou se se houve somente uma sobrecarga forçada nos acessos.

O que estava exposto na DeepSeek?

Segundo o relatório, as informações contidas na base de dados sem proteção incluíam histórico de conversa com o chatbot, chaves secretas da API da ferramenta, detalhes de funcionamento do backend da plataforma e outras informações importantes, como metadados gerados pelas interações.

Todos esses dados estavam em texto simples e não criptografado, o que significa que invasores mal intencionados facilmente conseguiriam acesso a esse conteúdo. Por enquanto, não há informações sobre acessos não autorizados para além dos testes realizados pela Wiz.

• Saiba mais: Acusação: DeepSeek usa ChatGPT para treinar, diz OpenAI

A brecha é considerada "crítica" tanto para usuários quanto para a DeepSeek, já que outras tentativas similares de acesso poderiam levar à obtenção de ainda mais dados — talvez até documentos privados e senhas, por exemplo.

<iframe width="560" height="315" src="https://www.youtube.com/embed/Nq2j5rb2ubU?si=63VVpxS9KIXRT35r" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>

A Wiz termina o texto fazendo um alerta a empresas que já estejam usando a API da DeepSeek ou até de outras empresas de IA. Segundo os pesquisadores, a adoção rápida demais desse tipo de serviço e a alimentação deles com dados e documentos sensíveis, especialmente corporativos, significa também o aumento nos riscos a roubos e vazamentos.