Zdá se, že Deepseek AI nemá zavedená robustní opatření k zabránění útokům člověka (MITM). Přestože konkrétní podrobnosti o strategiích prevence MITM Deepseek nejsou v dostupných informacích výslovně uvedeny, bylo zdůrazněno několik obav a zranitelnosti zabezpečení:
1. Problémy s šifrováním: Bylo zjištěno, že aplikace DeepSeek pro iOS deaktivuje zabezpečení transportu aplikací (ATS), což je ochrana na úrovni platformy, která zabraňuje odesílání citlivých dat přes nešifrované kanály [4]. To znamená, že data mohou být přenášena bez šifrování, což je zranitelné vůči zachycení. Ačkoli některé části dat jsou selektivně šifrovány, aplikace používá nejistý a zastaralý šifrovací algoritmus nazvaný 3DES a šifrovací klíč je do aplikace tvrdě zakódován [4].
2. expozice dat: Byly došlo k instancím, kdy nebyla databázová infrastruktura Deepseek řádně zajištěna, což vedlo k veřejné expozici citlivých informací, jako jsou historie chatu a pověření backendu [1] [2] [4]. Tento nedostatek bezpečnosti by mohl potenciálně usnadnit útoky MITM tím, že útočníkům umožní snadněji přístup nebo manipulaci s daty.
3. Zranitelnosti obecné bezpečnosti: Ukázalo se, že Deepseek je vysoce náchylný k různým bezpečnostním hrozbám, včetně algoritmických útěk z vězení a rychlého eskalačního techniky [1] [2]. Tyto zranitelnosti by mohly útočníci využít k provádění útoků MITM nebo jiných forem kybernetických hrozeb.
Pro účinné zabránění útoků MITM se obecně doporučuje používat silné šifrovací mechanismy, jako jsou HTTPS, a zajistit, aby všechny přenosy dat byly šifrovány. Implementace robustních mechanismů autentizace a autorizace může navíc pomoci chránit před neoprávněným přístupem. Na základě dostupných informací se však zdá, že Deepseek tato bezpečnostní opatření přiměřeně upřednostňuje.
Vzhledem k těmto obavám by měly organizace a jednotlivci při používání AI Deepseek AI opatrnější a zvážit zavedení dalších bezpečnostních opatření, jako je použití zabezpečených webových bran nebo firewall k blokování přístupu k Deepseekovým službám [6]. Navíc použití end-to-end šifrovaných aplikací pro zasílání zpráv a vyhýbání se sdílení citlivých dat prostřednictvím nezajištěných kanálů může pomoci zmírnit rizika [5].
Citace:
[1] https://www.esentire.com/blog/deepseek-ai-what-security-leaders-need-to-know-obout-its-security-risks
[2] https://www.cshub.com/theret-defense/articles/cyber-security-implication-deepseek-ai
[3] https://www.appdome.com/dev-sec-blog/how-enterprises-can-defend-against-deepseek-ai-mobile-security-threats/
[4] https://krebsosonsecurity.com/2025/02/experts-flag-sirity-risks-in-deepseek-app/ app/
[5] https://www.securityweek.com/deepseek-exposes-major-Cybersecurity-lind-pot/
[6] https://ironscales.com/blog/deepseek-ai.-what-it-security-leaders-need-to-know
[7] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-Frontier-Reasoning-Models
[8] https://www.radware.com/blog/thereat-intelligence/deepseek-s-yberattack-awake-p-call-for-ai-security/
[9] https://www.rapid7.com/fundamentals/man-in-the-middle-atacks/
[10] https://sbscyber.com/blog/deepseek-ai-nangers