DEEPSEEK AI nie wydaje się mieć solidnych środków, aby zapobiec atakom man-in-thetdle (MITM). Podczas gdy szczegółowe szczegóły dotyczące strategii zapobiegania MITM DeepSeek nie są wyraźnie wymienione w dostępnych informacjach, podkreślono kilka problemów bezpieczeństwa i luk w zabezpieczeniach:
1. Kwestie szyfrowania: Stwierdzono, że aplikacja Deepseek iOS wyłącza bezpieczeństwo Transport APP (ATS), która jest ochroną na poziomie platformy, która zapobiega wysyłaniu poufnych danych przez niezadowolone kanały [4]. Oznacza to, że dane mogą być przesyłane bez szyfrowania, dzięki czemu są podatne na przechwycenie. Chociaż niektóre części danych są selektywnie szyfrowane, aplikacja korzysta z niepewnego i przestarzonego algorytmu szyfrowania o nazwie 3DES, a klucz szyfrowania jest zakodowany w aplikacji [4].
2. Ekspozycja na dane: Istnieją przypadki, w których infrastruktura bazy danych Deepseek nie została odpowiednio zabezpieczona, co prowadzi do publicznego ujawnienia poufnych informacji, takich jak historie czatu i poświadczenia zaplecza [1] [2] [4]. Ten brak bezpieczeństwa może potencjalnie ułatwić ataki MITM, umożliwiając atakującym łatwiejszy dostęp lub manipulowanie danymi.
3. Ogólne luki w zabezpieczeniach: DEEPSEEK okazało się, że są bardzo podatne na różne zagrożenia bezpieczeństwa, w tym algorytmiczne techniki jailbreaking i szybkiej eskalacji [1] [2]. Te luki mogą być wykorzystywane przez atakujących do przeprowadzania ataków MITM lub innych form cyberprzestępstw.
Aby skutecznie zapobiec atakom MITM, ogólnie zaleca się stosowanie silnych mechanizmów szyfrowania, takich jak HTTPS, i upewnić się, że wszystkie transmisje danych są szyfrowane. Ponadto wdrożenie solidnych mechanizmów uwierzytelniania i autoryzacji może pomóc w ochronie przed nieautoryzowanym dostępem. Jednak na podstawie dostępnych informacji Deepseek nie wydaje się odpowiednio priorytetowo traktować tych środków bezpieczeństwa.
Biorąc pod uwagę te obawy, organizacje i osoby fizyczne powinny zachować ostrożność podczas korzystania z AI Deepseek i rozważyć wdrożenie dodatkowych środków bezpieczeństwa, takich jak korzystanie z bezpiecznych bram lub zapory ogniowej w celu blokowania dostępu do usług Deepseek [6]. Ponadto korzystanie z kompleksowych szyfrowanych aplikacji do przesyłania wiadomości i unikanie udostępniania poufnych danych za pośrednictwem niezabezpieczonych kanałów może pomóc w zmniejszeniu ryzyka [5].
Cytaty:
[1] https://www.esentire.com/blog/deepseek-ai-what-security-leaders-need-to-know-about-its-security-risks
[2] https://www.cshub.com/treat-defense/articles/cyber-security-implatations-deepseek-ai
[3] https://www.appdome.com/dev-sec-blog/how-enterprises-can-defend-against-deepseek-ai-mobile-security-treats/
[4] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[5] https://www.securityweek.com/deepseek-exposes-major-cybersecurity-blinds/
[6] https://ironscales.com/blog/deepseek-ai.-what-it-security-leaders-need-to-now
[7] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and-other-frontier-reassing-models
[8] https://www.radware.com/blog/treat-intelligence/deepseek-s-cyberattack-a-wake-p-call-for-ai-security/
[9] https://www.rapid7.com/fundamentals/man-in-the-middle-attacks/
[10] https://sbscyber.com/blog/deepseek-ai-dangers