Aplikacja DeepSeek, która zyskała ogromną popularność jako chatbot AI, okazała się poważnym zagrożeniem dla prywatności użytkowników. Firma NowSecure odkryła, że aplikacja przesyła dane w niezaszyfrowanej formie na serwery kontrolowane przez ByteDance, co stwarza ryzyko przechwycenia i manipulacji danymi przez osoby trzecie.
DeepSeek – rewolucja z poważnymi brakami
Aplikacja DeepSeek, rozwinięta przez mało znaną chińską firmę, w ciągu zaledwie kilku tygodni od premiery podbiła między innymi AppStore, wyprzedzając popularne rozwiązania, takie jak ChatGPT. Dzięki modelowi symulowanego rozumowania, aplikacja osiągnęła wyniki porównywalne z czołowymi produktami na rynku, co wywołało poruszenie w świecie sztucznej inteligencji. Jednak sukces ten został szybko przyćmiony przez doniesienia o poważnych lukach w zabezpieczeniach.
Dane przesyłane bez szyfrowania
Raport firmy NowSecure wykazał, że DeepSeek ignoruje podstawowe standardy bezpieczeństwa, przesyłając dane takie jak identyfikator organizacji, wersja systemu operacyjnego użytkownika czy język aplikacji przez nieszyfrowane kanały. Wbrew zaleceniom Apple, deweloperzy aplikacji wyłączyli funkcję App Transport Security (ATS), która chroni przed przesyłaniem danych w formie niezaszyfrowanej.
Co gorsza, dane są wysyłane na serwery kontrolowane przez ByteDance, chińską firmę znaną z bycia właścicielem TikToka. Choć część informacji jest szyfrowana, wykorzystuje przestarzały algorytm 3DES, który od dawna uznawany jest za podatny na ataki. Klucze szyfrowania są dodatkowo twardo zakodowane w aplikacji, co czyni je łatwo dostępnymi dla cyberprzestępców.
Zagrożenie prywatności i bezpieczeństwa
Eksperci ostrzegają, że dane przesyłane do ByteDance mogą być łatwo powiązane z innymi źródłami informacji, umożliwiając śledzenie użytkowników. Polityka prywatności DeepSeek wskazuje również, że dane mogą być przechowywane na serwerach w Chinach i udostępniane organom ścigania lub innym podmiotom w odpowiedzi na żądania rządowe.
Z tych powodów firma NowSecure zaleca natychmiastowe usunięcie aplikacji DeepSeek zarówno z urządzeń zarządzanych w środowiskach korporacyjnych, jak i z prywatnych.
Odpowiedź ze strony ekspertów i rządu USA
W reakcji na te doniesienia amerykańscy ustawodawcy rozpoczęli działania mające na celu zakazanie używania aplikacji DeepSeek na urządzeniach rządowych, powołując się na obawy dotyczące potencjalnych backdoorów umożliwiających dostęp do danych przez rząd Chin. Projekt ustawy może wejść w życie w ciągu 60 dni.
Wraca pytanie: czy AI to przyszłość, czy ryzyko?
DeepSeek, choć imponujący technologicznie, stawia pytania o bezpieczeństwo danych w erze rosnącej roli sztucznej inteligencji. Eksperci podkreślają, że brak podstawowych zabezpieczeń, takich jak szyfrowanie czy przejrzystość w zarządzaniu danymi, może zniweczyć korzyści płynące z innowacyjnych technologii.
