La startup de l’IA chinoise Deepseek a laissé les données des utilisateurs critiques et les secrets internes non protégés, ce qui a des alarmes sur les risques de sécurité dans l’industrie de l’IA.
Une entreprise de cybersécurité basée à New York, Wiz, a découvert un laps de sécurité critique chez Deepseek, une startup en hausse de l’IA chinoise, révélant une cache de données sensibles ouvertement accessibles sur Internet.
Selon un rapport publié par Wiz, les données exposées comprenaient plus d’un million de lignes d’entrées de journal, des clés de logiciels numériques, des détails du backend et de l’historique de chat des utilisateurs de l’assistant AI de Deepseek. Les chercheurs de l’entreprise ont constaté que Deepseek avait laissé par inadvertance une base de données Clickhouse non sécurisée accessible en ligne, ce qui soulève des problèmes de sécurité importants pour les entreprises et les gouvernements dans le monde.
Ami Luttwak, directeur de la technologie Wiz, a confirmé dans un article de blog que Deepseek avait rapidement agi pour sécuriser la base de données après avoir été alerté.
« Ils l’ont abattu en moins d’une heure », a déclaré Luttwak dans le billet de blog. « Mais c’était si simple à trouver, nous pensons que nous ne sommes pas les seuls à l’avoir trouvé. »
La violation de la sécurité intervient à un moment où Deepseek a fait la une des journaux pour ses progrès de l’IA, en particulier avec son modèle de raisonnement Deepseek-R1, qui a été salué comme une alternative rentable aux principales solutions d’IA basées sur les États-Unis. Cependant, cet incident souligne une préoccupation majeure pour les entreprises qui adoptent la sécurité de l’IA – Data et les risques associés au déploiement rapide de l’IA.
Plus tôt cette semaine, la startup de l’IA chinoise a affirmé avoir été frappée par une cyberattaque, ce qui l’a incité à restreindre l’enregistrement des utilisateurs.
Qu’est-ce qui a été exposé?
La déchéance de sécurité de Deepseek impliquait une base de données Clickhouse accessible au public qui contenait plus d’un million d’entrées de journal. Les données exposées comprenaient des histoires de chat, des détails backend, des secrets d’API et des informations opérationnelles sensibles, a ajouté le rapport.
Selon Wiz Research, la base de données était entièrement non protégée, permettant un accès illimité aux journaux internes et potentiellement compromettre les interactions utilisateur.
La base de données non protégée a également accordé un contrôle administratif complet sur son contenu. Les attaquants ayant un accès auraient pu récupérer des données propriétaires, extrait les mots de passe en texte clair et même accessible aux fichiers locaux stockés sur les serveurs de Deepseek. Les chercheurs de Wiz ont noté qu’il n’y avait aucun mécanisme d’authentification en place, ce qui rend la violation particulièrement alarmante.
Alors que Deepseek a agi rapidement pour sécuriser la base de données exposée après la divulgation de Wiz, l’incident met en évidence les risques de sécurité croissants au sein des plates-formes axées sur l’IA. Au fur et à mesure que les modèles d’IA deviennent plus avancés, l’infrastructure qui les soutient doit également évoluer pour empêcher de telles vulnérabilités critiques.
La brèche a posé un risque grave, non seulement à Deepseek mais aussi à ses utilisateurs, car les attaquants pourraient potentiellement exploiter les informations d’identification exposées pour obtenir un accès plus approfondi aux systèmes de l’entreprise.
L’examen réglementaire et mondial s’intensifie
La fuite de données Deepseek survient au milieu de l’examen global croissant des entreprises chinoises d’IA. Mardi, la secrétaire de presse de la Maison Blanche, Karoline Leavitt, a déclaré que le Conseil de sécurité nationale des États-Unis (NSC) examine les implications de Deepseek sur la sécurité nationale du pays. De même, l’autorité italienne de protection des données, Garante, a annoncé qu’elle cherchait des réponses de Deepseek sur sa gestion des données personnelles. Le chien de garde italien exige une clarté sur les données que Deepseek recueille, ses sources, ses objectifs, sa base juridique et si les informations sont stockées en Chine.
L’Irlande a également lancé une enquête, avec le Watchdog de la vie privée du pays, la Commission de protection des données (DPC), en remettant en question l’entreprise chinoise sur la façon dont elle traite les données de ses citoyens.
Cette action réglementaire reflète des préoccupations plus larges concernant l’écosystème de l’IA chinois, qui a rapidement gagné du terrain et, dans certains cas, a menacé la domination des sociétés d’IA américaines. Le succès de Deepseek dans le dépassement de Chatgpt d’Openai sur l’App Store d’Apple aux États-Unis plus tôt cette semaine a encore alimenté les angoisses concernant l’influence de l’entreprise.
Les tours de sécurité pourraient atténuer l’adoption de l’IA
Les experts en cybersécurité avertissent que les startups de l’IA, dans leur ruée vers l’échelle, ignorent souvent l’hygiène de base de la sécurité.
«Les risques de sécurité immédiates pour les applications d’IA découlent de l’infrastructure et des outils qui les soutiennent», a déclaré le blog mettant en évidence les risques plus larges posés par les vulnérabilités des infrastructures de l’IA. «Bien que beaucoup d’attention autour de la sécurité de l’IA se concentre sur les menaces futuristes, les vrais dangers proviennent souvent des erreurs de base de base.»
L’incident Deepseek sert de rappel brutal des risques de cybersécurité auxquels les entreprises sont confrontées lors de l’intégration de modèles d’IA tiers. Comme les entreprises comptent de plus en plus sur des solutions d’IA pour l’automatisation et la prise de décision, les équipes de sécurité doivent travailler en étroite collaboration avec les ingénieurs d’IA pour garantir que les mesures de sécurité fondamentales – telles que le chiffrement des données, les contrôles d’authentification et les audits de sécurité réguliers – sont en place.
Quelle est la prochaine étape pour la sécurité de l’IA?
Avec l’adoption de l’IA accélérant dans toutes les industries, des tours de sécurité comme celui-ci mettent en évidence le besoin urgent de cadres de cybersécurité rigoureux. Les organismes de réglementation du monde entier devraient augmenter leur surveillance des entreprises d’IA, en particulier celles qui gèrent de grandes quantités de données utilisateur.
Alors que la course aux armements de l’IA se poursuit, les entreprises qui investissent dans les technologies de l’IA doivent rester vigilantes quant à leurs postures de cybersécurité. La violation Deepseek sert de récit pour les entreprises évaluant les fournisseurs d’IA: la sécurité ne peut pas être une réflexion après coup.
La montée rapide de Deepseek dans le paysage de l’IA l’a positionnée comme un acteur formidable, mais son accident de sécurité récent soulève des questions critiques sur la gouvernance de l’IA et la gestion des risques. Pour les entreprises qui envisagent l’adoption de l’IA, la diligence raisonnable sur les pratiques de sécurité est plus cruciale que jamais.
Alors que les régulateurs mondiaux resserrent l’examen minutieux, l’incident peut établir un précédent pour la façon dont les entreprises de l’IA gèrent la sécurité et la conformité. Alors que Deepseek a peut-être agi rapidement pour résoudre le problème, l’impact à long terme de cette exposition reste à voir.
