Zagotavljanje varnosti uporabniških podatkov v večkratnih pogovorih z API-jem Deepseek vključuje več ukrepov, čeprav obstajajo veliki pomisleki in izzivi, povezani z njegovo izvajanje.
Varnostni ukrepi, ki jih zahteva Deepseek
1. Anonimizacija podatkov: Deepseek uporablja tehnike anonimizacije podatkov za zaščito identitet uporabnikov z odstranjevanjem osebnih identifikatorjev iz nabora podatkov. To zagotavlja, da podatki ostanejo neosebni in varni, ko se obdelujejo skozi omrežja AI [3].
2. Od konca do konca: Deepseek izvaja protokole za šifriranje od konca do konca za ohranitev celovitosti in zaupnosti uporabniških podatkov. Podatki so šifrirani tako v tranzitu kot v mirovanju, kar preprečuje nepooblaščen dostop in prestrezanje [3].
3. Skladnost s predpisi o varstvu podatkov: Deepseek je zasnovan tako, da se drži večjih predpisov o varstvu podatkov, kot sta GDPR in CCPA. Ta skladnost zagotavlja, da se ravnanje z osebnimi podatki uskladi s strogimi pravnimi standardi [3].
4. Mehanizmi za nadzor dostopa: Vzpostavljeni so močni sistemi za nadzor dostopa, s katerimi lahko urejajo, kdo znotraj organizacije lahko dostopa do določenih podatkovnih nizov. Z uveljavljanjem večfaktorskih pristnosti in strogih dovoljenj za dostop z Deepseek zmanjšuje tveganje za notranje kršitve podatkov in nepooblaščen dostop do podatkov [3].
Varnostni pomisleki in izzivi
Kljub tem ukrepom je bilo ugotovljenih več varnostnih pomislekov in izzivov:
1. Ranljivosti v aplikaciji Deepseek Android: Aplikacija ima varnostne ranljivosti, kot so šibko šifriranje, tveganja za vbrizgavanje SQL in trde kodirane tipke. Podatki se prenašajo na področja, povezana s kitajskimi subjekti v državni lasti, kar vzbuja zaskrbljenost glede suverenosti podatkov in nacionalne varnosti [4].
2. Izpostavljeni incident baze podatkov: Deepseek je doživel varnostni zamik, ko je bila kritična baza podatkov javno dostopna, izpostavljala je uporabniške pozive, sistemske dnevnike in žetone za preverjanje pristnosti API -ja. Čeprav je bila baza podatkov hitro zavarovana, poudarja pomanjkanje zrelosti pri varno ravnanju z občutljivimi podatki [5].
3. Negotovo prenos podatkov: Aplikacija DeepSeek iOS prenaša občutljive podatke po internetu brez ustrezne šifriranja, zaradi česar je ranljiva za prestrezanje in manipulacijo. Uporablja zastarele algoritme šifriranja, kot so Triple DES in trde šifrirane ključe, ki krši najboljše varnostne prakse [7] [9].
4. Shranjevanje podatkov na Kitajskem: Politika zasebnosti Deepseeka navaja, da so uporabniški podatki shranjeni na strežnikih na Kitajskem, kar vzbuja zaskrbljenost glede dostopa vlade v skladu z lokalnimi predpisi. To bi lahko ogrozilo zasebnost in varnost uporabniških podatkov, saj so kitajski zakoni o zasebnosti podatkov manj strogi kot tisti v mnogih zahodnih državah [2] [9].
Pogovori z več obrati
V pogovorih z več zavoji API Deepseek od uporabnikov zahteva, da združijo vso prejšnjo zgodovino pogovorov in ga z vsako zahtevo prenesejo v klepet API. Ta pristop je brez državljanstva, kar pomeni, da strežnik ne beleži konteksta uporabnikovih zahtev [6]. Čeprav bi to lahko zmanjšalo tveganje za shranjevanje občutljivih podatkov o pogovoru na strežniku, ne obravnava osnovnih varnostnih ranljivosti in tveganj za prenos podatkov.
Če povzamemo, so bili ugotovljeni trditve o trdih varnostnih ukrepih, pomembni varnostni pomisleki in ranljivosti. Te težave v kombinaciji s shranjevanjem uporabniških podatkov na Kitajskem in prenosom podatkov na kitajske subjekte sprožijo bistvena tveganja za zasebnost uporabnikov in varnost podatkov.
Navedbe:
[1] https://blog.theori.io/deepseek-security-privacy-and-governance-hidden-risks-in-Open-source-ai-125958db9d93
[2] https://www.securityMagazine.com/articles/101374-nagers-of-deepseeks-privacy-policy-data-risks-in-the-age-ai
[3] https://www.popai.pro/resources/Everything-about-reepseek/
[4] https://securityscorecard.com/blog/a-meep-peek-at-deepseek/
[5] https://www.scworld.com/brief/deepseek-ai-platform-exposed-user-data-through-Unsecured-Database
[6] https://api-docs.deepseek.com/guides/multi_round_chat
[7] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[8] https://www.reddit.com/r/localllama/comments/1hvp5z1/about_deepseek_v3_privacy_concern/
[9] https://www.nowecure.com/blog/2025/02/06/nowecure-uncovers-moultiple-security-and-privacy-flaws in-deepseek-ios-mobile-app/