DeepSeek: falha de segurança expôs prompts de usuários e chaves de API
Pesquisadores de cibersegurança encontraram base de dados sem senha na internet. Brecha foi corrigida meia hora após alerta. DeepSeek: falha de segurança expôs prompts de usuários e chaves de API
Resumo
- A DeepSeek expôs uma base de dados sem senha, permitindo acesso a prompts de usuários e chaves de API, segundo a empresa de cibersegurança Wiz.
- A Wiz especula que a falha poderia permitir a agentes mal-intencionados mover-se lateralmente e acessar outros sistemas da DeepSeek.
- Meia hora após o comunicado, a base de dados da empresa chinesa foi protegida por senha.
- Desde o lançamento de seu chatbot, a DeepSeek tem gerado reações de concorrentes e do mercado, enfrentando acusações de copiar modelos da OpenAI e sendo removida das lojas de apps na Itália.
A empresa de cibersegurança Wiz revelou que a DeepSeek deixou um banco de dados exposto na internet, sem senha. A falha permitia acessar registros importantes, como logs de sistemas, envios de prompts de usuários e até chaves de autenticação de APIs.
Como a DeepSeek é uma empresa relativamente nova no cenário de inteligência artificial, os pesquisadores da Wiz não tinham certeza sobre como relatar a falha. Então, eles enviaram mensagens por todos os emails e perfis do LinkedIn ligados à empresa. Eles não receberam resposta, mas meia hora após o comunicado, a base de dados estava protegida por senha.
“Erros acontecem, mas este é um erro crasso, porque o nível de esforço [necessário para acessar a base de dados] era muito baixo e o nível de acesso que obtivemos era muito alto”, disse Ami Luttwak, CTO da Wiz, à Wired. “Eu diria que isso significa que o serviço não está pronto para ser usado com nenhum dado sensível”.
Qual era o risco da falha de segurança da DeepSeek?
O time da Wiz especula que um agente mal-intencionado poderia usar o acesso ao banco de dados para se mover “lateralmente”, obtendo acesso a outros sistemas e executando códigos na infraestrutura da empresa. Eles afirmam ter feito o mínimo necessário para confirmar as descobertas sem comprometer a privacidade dos usuários.
Segundo os pesquisadores, a base de dados desprotegida aparentava ser usada para análise de dados de servidor. Eles encontraram apenas prompts em chinês, mas avaliam que a base de dados poderia conter pedidos feitos ao chatbot em outros idiomas.
Quais são as polêmicas envolvendo a DeepSeek?
Até o momento, a startup chinesa esteve envolvida em algumas controvérsias:
- A OpenAI diz ter evidências de que a DeepSeek treinou seus modelos de IA usando respostas obtidas dos modelos da própria OpenAI, em uma técnica conhecida como “destilação”.
- A Itália determinou a remoção do aplicativo DeepSeek da Play Store e da Apple Store enquanto aguarda esclarecimentos sobre a proteção de dados dos consumidores.
A DeepSeek ganhou os holofotes pouco depois de lançar seu aplicativo para Android e iOS e um modelo de “raciocínio”, o R1. As informações de que o treinamento de seus modelos foi muito mais barato e usou menos chips que as concorrentes causaram impacto grande no valor de mercado da Nvidia (que acumula queda de mais de 13% em 2025) e de outras empresas do setor de semicondutores.
Com informações da Wired
DeepSeek: falha de segurança expôs prompts de usuários e chaves de API
