Mão segurando celular com o app do DeepSeek aberto. Ao fundo, o site do DeepSeek em um monitor.
DeepSeek balançou setor de IA e semicondutores (foto: Giovanni Santa Rosa/Tecnoblog)

A empresa de cibersegurança Wiz revelou que a DeepSeek deixou um banco de dados exposto na internet, sem senha. A falha permitia acessar registros importantes, como logs de sistemas, envios de prompts de usuários e até chaves de autenticação de APIs.

Como a DeepSeek é uma empresa relativamente nova no cenário de inteligência artificial, os pesquisadores da Wiz não tinham certeza sobre como relatar a falha. Então, eles enviaram mensagens por todos os emails e perfis do LinkedIn ligados à empresa. Eles não receberam resposta, mas meia hora após o comunicado, a base de dados estava protegida por senha.

Foto de iPhone com a App Store aberta na lista dos apps mais baixados de produtividade. O top 4 é: DeepSeek, ChatGPT, Gmail e Gemini.
DeepSeek chegou ao topo dos apps de produtividade mais baixados para iPhone (foto: Giovanni Santa Rosa/Tecnoblog)

“Erros acontecem, mas este é um erro crasso, porque o nível de esforço [necessário para acessar a base de dados] era muito baixo e o nível de acesso que obtivemos era muito alto”, disse Ami Luttwak, CTO da Wiz, à Wired. “Eu diria que isso significa que o serviço não está pronto para ser usado com nenhum dado sensível.”

Qual era o risco da falha de segurança da DeepSeek?

O time da Wiz especula que um agente mal-intencionado poderia usar o acesso ao banco de dados para se mover “lateralmente”, obtendo acesso a outros sistemas e executando códigos na infraestrutura da empresa. Eles afirmam ter feito o mínimo necessário para confirmar as descobertas sem comprometer a privacidade dos usuários.

Segundo os pesquisadores, a base de dados desprotegida aparentava ser usada para análise de dados de servidor. Eles encontraram apenas prompts em chinês, mas avaliam que a base de dados poderia conter pedidos feitos ao chatbot em outros idiomas.

Quais são as polêmicas envolvendo a DeepSeek?

Até o momento, a DeepSeek esteve envolvida em algumas controvérsias:

  • A OpenAI diz ter evidências de que a DeepSeek treinou seus modelos de IA usando respostas obtidas dos modelos da própria OpenAI, em uma técnica conhecida como “destilação”.
  • A Itália determinou a remoção do aplicativo DeepSeek da Play Store e da Apple Store enquanto aguarda esclarecimentos sobre a proteção de dados dos consumidores.

A DeepSeek ganhou os holofotes pouco depois de lançar seu aplicativo para Android e iOS e um modelo de “raciocínio”, o R1. As informações de que o treinamento de seus modelos foi muito mais barato e usou menos chips que as concorrentes causaram impacto grande no valor de mercado da Nvidia (que acumula queda de mais de 13% em 2025) e de outras empresas do setor de semicondutores.

Com informações da Wired

DeepSeek: falha de segurança expôs prompts de usuários e chaves de API