Neatrodo, kad „Deepseeek AI“ turi patikimų priemonių, kad būtų išvengta žmogaus vidurio (MITM) išpuolių. Nors konkrečios informacijos apie „Deepseek“ MITM prevencijos strategijas nėra aiškiai paminėta turima informacija, buvo pabrėžiamos keli saugumo problemos ir pažeidžiamumai:
1. Šifravimo problemos: nustatyta, kad „Deepseeek“ „iOS“ programa išjungia programų transporto saugumą (ATS), tai yra platformos lygio apsauga, neleidžianti neskelbtiniems duomenims išsiųsti per nešifruotus kanalus [4]. Tai reiškia, kad duomenis galima perduoti be šifravimo, todėl jie yra pažeidžiami perėmimo. Nors kai kurios duomenų dalys yra selektyviai užšifruojamos, programa naudoja nesaugų ir nusidėvėjusį šifravimo algoritmą, vadinamą 3DES, o šifravimo raktas yra sunkiai koduojamas į programą [4].
2. Duomenų ekspozicija: Buvo atvejų, kai „Deepseek“ duomenų bazės infrastruktūra nebuvo tinkamai užtikrinta, todėl viešai rodoma neskelbiama informacija, tokia kaip pokalbių istorija ir užpakaliniai kredencialai [1] [2] [4]. Šis saugumo trūkumas gali palengvinti MITM išpuolius, nes užpuolikai gali lengviau pasiekti ar manipuliuoti duomenimis.
3. Bendrosios saugumo pažeidžiamumai: Įrodyta, kad „Deepseek“ yra labai jautrus įvairioms saugumo grėsmėms, įskaitant algoritminį kalinimo ir greitųjų eskalavimo metodus [1] [2]. Šiuos pažeidžiamumus užpuolikai galėtų išnaudoti vykdydami MITM išpuolius ar kitas kibernetinių grėsmių formas.
Norint veiksmingai užkirsti kelią MITM atakoms, paprastai rekomenduojama naudoti stiprius šifravimo mechanizmus, tokius kaip HTTPS, ir užtikrinti, kad visi duomenų perdavimas būtų užšifruotas. Be to, patikimo autentifikavimo ir autorizacijos mechanizmų įgyvendinimas gali padėti apsaugoti nuo neteisėtos prieigos. Tačiau, remdamasis turima informacija, atrodo, kad „Deepseek“ neabejotinai teikia pirmenybę šioms saugumo priemonėms.
Atsižvelgiant į šiuos rūpesčius, organizacijos ir asmenys turėtų būti atsargūs naudodamiesi „Deepseee“ AI ir apsvarstyti galimybę įgyvendinti papildomas saugumo priemones, pavyzdžiui, naudoti saugius žiniatinklio šliuzus ar ugniasienes, kad būtų užkirstas kelias prieigai prie „Deepseek“ paslaugų [6]. Be to, naudojant užšifruotas pranešimų siuntimo programas nuo galo iki galo ir išvengti neskelbtinų duomenų dalijimosi per neužtikrintus kanalus, gali padėti sušvelninti riziką [5].
Citatos:
[1] https://www.esentire.com/blog/deepseek-ai-what-security-leaders-reed-to-know-out-out-its-security-red
[2] https://www.cshub.com/threat-defense/articles/cyber-security-implications-deepseek-ai
[3] https://www.appdome.com/dev-sec-blog/how-enterprises-can-defend-against-deepseeek-ai-mobile-security---threats/
[4] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-visks-in-deepseek-ai-app/
[5] https://www.securityweek.com/deepseek-exposes-major-ciberSecurity-blind-spot/
[6] https://ironscales.com/blog/deepseek-ai.- what-it-security-leaders-reed-to-know
[7] https://blogs.cisco.com/security/evaluating-security -risk-in-deepseek-and-ther-frontier-reasoning-models
[8] https://www.radware.com/blog/threat-intelligence/deepseek-s-cherberattack-aake-wake-call-ai-security/
[9] https://www.rapid7.com/fundamentals/man-in-the-middle-attacks/
[10] https://sbscyber.com/blog/deepseek-ai-dangers