Você já imaginou uma empresa de inteligência artificial deixar um banco de dados inteiramente aberto na internet? Histórico de bate-papos, chaves de API e muito mais expostos para qualquer um acessar. Isso aconteceu com a DeepSeek, e a história é mais intrigante do que você imagina!
A DeepSeek, uma empresa chinesa de IA, desenvolveu modelos generativos competitivos e acessíveis. Mas, parece que seus conhecimentos em segurança cibernética não estão à altura de suas inovações tecnológicas.
Uma Falha de Segurança Grave
Uma empresa de segurança, a Wiz, descobriu recentemente uma grande vulnerabilidade na infraestrutura da DeepSeek. Pouco depois do lançamento do modelo DeepSeek R1, a Wiz começou a investigar as práticas de segurança da empresa.
A DeepSeek oferece acesso online a suas redes neurais na nuvem, além de desenvolver e distribuir modelos abertos. A descoberta preocupante foi que o banco de dados dessas plataformas não estava protegido.
Conversas com o chatbot, e outros dados sensíveis, eram acessíveis publicamente sem qualquer senha.
Dados Expostos
O banco de dados exposto continha uma quantidade significativa de informações: histórico de bate-papos, dados internos e informações confidenciais. Incluía logs, segredos de APIs e detalhes operacionais.
Pesquisadores de segurança conseguiram acessar o banco de dados usando a interface HTTP do ClickHouse. Com uma simples consulta, obtiveram uma lista completa de conjuntos de dados disponíveis.
Uma tabela chamada “log_stream” continha milhões de entradas com dados sigilosos: carimbos de data e hora, referências a endpoints de API, histórico de bate-papo em texto simples, chaves de API, detalhes de backend e metadados operacionais.
Dependendo da configuração do ClickHouse, um invasor poderia ter acesso a senhas em texto plano, arquivos locais e dados proprietários. Os pesquisadores não tentaram essas ações, mas a possibilidade era real.
Consequências e Soluções
A exposição permitia controle total do banco de dados e potencial escalada de privilégios no ambiente DeepSeek, sem qualquer autenticação.
Segundo a Wiz, a DeepSeek corrigiu o problema assim que foi notificada. Entretanto, a empresa ainda não se pronunciou oficialmente sobre o ocorrido.
Esse incidente destaca a importância da segurança em serviços de IA. A adoção rápida dessas tecnologias sem a devida preocupação com segurança é extremamente arriscada. Proteger os dados dos clientes deve ser a prioridade máxima.
A DeepSeek, que oferece acesso web e app gratuito e acesso pago à API de seus modelos, tem uma política de privacidade que afirma armazenar informações completas de uso em seus servidores na China. O app para Android e iOS não está disponível na Itália após questionamentos da autoridade de proteção de dados do país.
Conclusão
O caso da DeepSeek serve como um alerta importante sobre a necessidade de segurança em plataformas de inteligência artificial. A falha de segurança expôs dados sensíveis, mostrando como até mesmo empresas inovadoras podem ser vulneráveis a erros básicos. A prioridade, sempre, deve ser a proteção dos dados dos usuários.
Deixe seu comentário abaixo, compartilhando sua opinião sobre esse caso e sobre a importância da segurança da informação em plataformas de IA!
