Aplikacja DeepSeek AI w krótkim czasie stała się sensacją, jednak niedawno pojawiły się kontrowersje związane z bezpieczeństwem jej użytkowników. Według raportu NowSecure, DeepSeek przesyła dane w niezaszyfrowanej formie na serwery kontrolowane przez ByteDance – chińską firmę odpowiadającą za TikToka. Specjaliści ostrzegają, iż może to stanowić poważne zagrożenie dla prywatności.
Dwa tygodnie temu świat AI zwrócił uwagę na DeepSeek – asystenta oferującego funkcje porównywane z modelami OpenAI. Aplikacja natychmiast wskoczyła na szczyt darmowych programów w App Store, wyprzedzając ChatGPT. Jednak w czwartek firma NowSecure ujawniła krytyczne luki w zabezpieczeniach, które rzuciły cień na ten dynamiczny sukces.
Badania pokazały, iż DeepSeek pomija podstawowe standardy bezpieczeństwa. Oprogramowanie wysyła dane przez niezabezpieczone kanały, co naraża je na łatwe przechwycenie przez osoby monitorujące ruch sieciowy. Dodatkowo, część informacji trafia do serwerów ByteDance, gdzie mogą być analizowane i zestawiane z innymi danymi o użytkownikach.
Choć Apple zaleca stosowanie App Transport Security, DeepSeek globalnie wyłączył tę funkcję bez wyjaśnienia. Co gorsza, aplikacja korzysta z szyfrowania 3DES uznanego za przestarzałe już w 2016 roku, a klucze szyfrujące są identyczne dla wszystkich użytkowników iOS.
Eksperci podnoszą alarm
Andrew Hoog, współzałożyciel NowSecure, ocenił sytuację jednoznacznie: „DeepSeek nie jest przygotowany ani skłonny do zapewnienia podstawowych zabezpieczeń danych użytkowników.”
Thomas Reed, ekspert ds. bezpieczeństwa iOS, dodał: „To pozwala aplikacji na komunikację przez niezabezpieczone protokoły, takie jak HTTP. Apple to dopuszcza, ale nie powinno.”
Z kolei HD Moore, CEO firmy runZero, podkreślił, że „brak szyfrowania oznacza, iż każdy w sieci może przechwycić dane, nie tylko ByteDance.”
Politycy wkraczają do akcji
Wczoraj amerykańscy kongresmeni rozpoczęli prace nad zakazem używania DeepSeek na urządzeniach rządowych, przywołując obawy o bezpieczeństwo narodowe. jeżeli ustawa zostanie przegłosowana, aplikacja będzie musiała zniknąć ze sprzętu będącego własnością USA.
Apple i DeepSeek dotychczas nie wyjaśniły powodów wyłączenia ATS ani przesyłania danych na serwery ByteDance. Nie skomentowały też decyzji o użyciu przestarzałego szyfrowania.
