אוהדי טק שנהרו לנסות את Deepseek ירצו לחשוב פעמיים על מה שהאפליקציה עושה – ימים ספורים לאחר שנמצאו פגיעויות באפליקציית iOS, צוות מחקר ב- Security Scorecard מצא גם חששות פרטיות דומים באפליקציית אנדרואיד.
למרות עליית הפופולריות של האפליקציה לאחר שחרורו של מודל ההנמקה R1, כמה מדינות כולל אוסטרליה, איטליה וטייוואן אסרו עליה להשתמש במחלקות ממשלתיות או במכשירים ממשלתיים בין חששות לפרטיות. בעוד שהדו"ח האחרון של כרטיס ניקוד אבטחה אינו מראה שום התנהגות זדונית להפליא, הוא אכן מצביע על כמה נוהלי אבטחה ירודים בסך הכל.
החששות כוללים שליחת נתוני משתמשים לסין, מפתחות מקודדים, קריפטוגרפיה חלשה ופגיעויות לפיגועי הזרקת SQL בין היתר. בנוסף, בדו"ח נאמר כי מפתחות API, אסימוני אימות וסיסמאות מאוחסנים ב- Plaintext בתוך קבצי יישומים המגדילים את הסיכונים של גישה בלתי מורשית והשתלטות על חשבון.
מדיניות הפרטיות של האפליקציה מפרטת התנהגות מסוכנת נוספת כגון איסוף "כניסות טקסט או שמע, הנחיות, קבצים שהועלו, משוב והיסטוריית צ'אט." זה גם אוסף מידע טכני כמו כתובות IP, מערכת הפעלה, מודל המכשירים ו – באופן הכי מדובר – "דפוסי הקשה או מקצבים." החלק האחרון הזה נחשב לפולש ביותר שכן ניתן להשתמש בו כדי להסיק גם זהות וגם התנהגות.
כרטיס ניקוד אבטחה ניתח את האפליקציה וזיהה סוגיות אלה על בסיס רשימת CWE (ספירה חולשה נפוצה). חולשות בסיכון גבוה כוללות דברים כמו מפתחות מקודדים, סיכוני הזרקת SQL, הרשאות קבצים לא נכונים, ואילו ניתוח קוד הסמאלי של Deepseek חשף טכניקות מרובות נגד התנפלות. אם מתגלה ניפוי באגים; כוח היישום סוגר את עצמו כדי למנוע ניתוח.
הדו"ח בוחן גם את הסבירות להתנהגות משתמשים ומטא נתונים של מכשירים יישלחו לשרתי בידאנס אשר יעלו את סוגיות הציות עם GDPR, CCPA וחוקי הביטחון הלאומי.
אם אתה חושב להשתמש ב- DeepSeek ככלי ה- AI החדש שלך, ממצאי הדו"ח הם יותר ממספיק סיבה לשקול מחדש. יש לקוות שיוצריה מסוגלים לתקן כמה מנושאי האבטחה הללו זמן קצר לפני שהאקרים, ממשלות או שחקני איום אחרים מגלים כיצד לנצל אותם.
