Selon la société de sécurité Cloud, Wiz. Deepseek a laissé des données utilisateur et des chats utilisateur exposés, ainsi que des clés d’authentification API, des journaux système et d’autres informations sensibles. Les chercheurs en sécurité ont déclaré avoir découvert que la base de données accessible au public de l’IA chinoise en «minutes», sans authentification requise.
Gunter Ollmann, CTO, Cobalt a commenté la situation:
«L’exposition profonde met en évidence un problème critique et récurrent – les organisations, en particulier celles qui innovent rapidement dans l’IA, privilégient souvent la vitesse sur la sécurité. La découverte de Wiz renforce l’importance des tests de sécurité proactifs, en particulier à mesure que les surfaces d’attaque se développent avec l’infrastructure basée sur le cloud et les API accessibles au public. Compte tenu de la récente reconnaissance et de la croissance mondiale de Deepseek dans l’espace de l’IA, la violation aurait pu avoir un impact énorme, affectant considérablement les entreprises et les particuliers s’appuyant sur leurs services, avec des effets d’ondulation potentiels dans les industries.
Cette affaire souligne pourquoi les organisations doivent en permanence évaluer la robustesse de leurs contrôles défensifs – non juste pour respecter la conformité, mais pour protéger les données sensibles et améliorer leur posture de risque. La sécurité offensive, y compris les tests de pénétration et la surveillance de la surface d’attaque, est essentielle pour identifier ces portes ouvertes avant que les adversaires ne le fassent. Les plates-formes axées sur l’IA comme Deepseek doivent intégrer les tests de sécurité dans leur cycle de vie de développement, assurant des évaluations rigoureuses des infrastructures, des contrôles d’accès et des politiques de traitement des données.
L’IA peut être «nouvelle», mais les bases des processus de sécurité et des contrôles s’appliquent toujours.
Alors que les entreprises d’IA font partie intégrante des infrastructures critiques, la sécurité ne peut pas être une réflexion après coup. L’industrie doit adopter un état d’esprit proactif – le pentisting régulier, l’équipe rouge et la surveillance continue de la surface des attaques – pour sauvegarder à la fois la propriété intellectuelle et la confiance des clients. »
Deepseek est une nouvelle entreprise d’IA chinoise qui provoque une certaine controverse dans l’industrie de l’IA. Que pensez-vous de cette histoire? En savoir plus sur Hacker News.
