Garantire la sicurezza dei dati degli utenti nelle conversazioni multi-turn con l'API DeepSeek implica diverse misure, sebbene vi siano preoccupazioni e sfide significative associate alla sua attuazione.
Misure di sicurezza rivendicate da DeepSeek
1. Anonimizzazione dei dati: DeepSeek impiega tecniche di anonimo dei dati per proteggere le identità degli utenti spogliando identificatori personali dai set di dati. Ciò garantisce che i dati rimangono impersonali e sicuri quando elaborati attraverso le reti dell'IA [3].
2. Crittografia end-to-end: DeepSeek implementa i protocolli di crittografia end-to-end per mantenere l'integrità e la riservatezza dei dati dell'utente. I dati sono crittografati sia in transito che a riposo, prevenendo l'accesso e l'intercettazione non autorizzati [3].
3. Conformità alle normative sulla protezione dei dati: DeepSeek è progettato per aderire alle principali norme sulla protezione dei dati come GDPR e CCPA. Questa conformità garantisce che la gestione dei dati personali si allinea a rigorosi standard legali [3].
4. Meccanismi di controllo degli accessi: sono in atto solidi sistemi di controllo degli accessi per regolare chi all'interno di un'organizzazione può accedere a set di dati specifici. Applicando l'autenticazione multi-fattore e le autorizzazioni di accesso rigorose, DeepSeek riduce al minimo il rischio di violazioni dei dati interni e accesso ai dati non autorizzati [3].
Preoccupazioni e sfide di sicurezza
Nonostante queste misure, sono state identificate diverse preoccupazioni di sicurezza e sfide:
1. I dati vengono trasmessi a domini legati a entità statali cinesi, sollevando preoccupazioni sulla sovranità dei dati e sulla sicurezza nazionale [4].
2. Incidente del database esposto: DeepSeek ha subito un intervallo di sicurezza quando un database critico è stato lasciato accessibile al pubblico, esponendo i prompt degli utenti, i registri di sistema e i token di autenticazione API. Sebbene il database sia stato fissato rapidamente, evidenzia una mancanza di maturità nella gestione in modo sicuro di dati sensibili [5].
3. Trasmissione di dati insicuri: l'app DeepSeek iOS trasmette dati sensibili su Internet senza una corretta crittografia, rendendo vulnerabile all'intercettazione e alla manipolazione. Utilizza algoritmi di crittografia obsoleti come le chiavi di crittografia Triple DES e HardCodes, violando le migliori pratiche di sicurezza [7] [9].
4. Archiviazione dei dati in Cina: la politica sulla privacy di Deepseek afferma che i dati degli utenti sono archiviati sui server in Cina, il che solleva preoccupazioni sull'accesso al governo ai sensi delle normative locali. Ciò potrebbe compromettere la privacy e la sicurezza dei dati degli utenti, poiché le leggi sulla privacy dei dati cinesi sono meno rigorose di quelle in molti paesi occidentali [2] [9].
Conversazioni multi-turn ###
Nelle conversazioni multi-turn, l'API di Deepseek richiede agli utenti di concatenare tutta la cronologia delle conversazioni precedenti e passarla all'API di chat con ogni richiesta. Questo approccio è stato senza stato, il che significa che il server non registra il contesto delle richieste dell'utente [6]. Sebbene ciò possa ridurre il rischio di archiviare i dati di conversazione sensibili sul server, non affronta le vulnerabilità di sicurezza sottostanti e i rischi di trasmissione dei dati.
In sintesi, mentre DeepSeek afferma di attuare solide misure di sicurezza, sono stati identificati significativi problemi di sicurezza e vulnerabilità. Questi problemi, combinati con l'archiviazione dei dati degli utenti in Cina e la trasmissione di dati alle entità cinesi, aumentano i rischi sostanziali per la privacy e la sicurezza dei dati degli utenti.
Citazioni:
[1] https://blog.theori.io/deepseek-security-privacy-and-governance-hidden-risks-in-open-source-ai-125958db9d93
[2] https://www.securitymagazine.com/articles/101374 dangers-of-deepseeks-privacy-poolicy-data-risks-in-the-age-of-ai
[3] https://www.popai.pro/resources/everything-about-deepseek/
[4] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[5] https://www.scworld.com/brief/deepseek-ai-platform-exposed-user-data-through-unsecured-database
[6] https://api-docs.deepseek.com/guides/multi_round_chat
[7] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-resks-in-deepseek-app-app/
[8] https://www.reddit.com/r/localllama/comments/1hvp5z1/about_deepseek_v3_privacy_concern/
[9] https://www.nownecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/