DeepSeek: A IA de código aberto da China alimenta o paradoxo da segurança nacional

A DeepSeek e seu modelo R1 estão rapidamente reescrevendo as regras da IA em cibersegurança em tempo real, com empresas desde startups até grandes provedores experimentando integrações com seu novo modelo este mês.

O R1 foi desenvolvido na China e se baseia em aprendizado por reforço puro (RL) sem afinamento supervisionado. Ele também é de código aberto, tornando-se imediatamente atraente para quase todas as startups de cibersegurança que apostam em arquitetura, desenvolvimento e implantação de código aberto.

O investimento de $6,5 milhões da DeepSeek no modelo está entregando um desempenho que se equipara ao modelo o1-1217 da OpenAI em benchmarks de raciocínio, enquanto roda em GPUs Nvidia H800 de nível inferior. Os preços da DeepSeek definem um novo padrão com custos significativamente mais baixos por milhão de tokens em comparação aos modelos da OpenAI. O modelo deep seek-reasoner cobra $2,19 por milhão de tokens de saída, enquanto o modelo o1 da OpenAI cobra $60 pelo mesmo. Essa diferença de preço e sua arquitetura de código aberto chamaram a atenção de CIOs, CISOs, startups de cibersegurança e provedores de software corporativo.

(Curiosamente, a OpenAI afirma que a DeepSeek usou seus modelos para treinar o R1 e outros modelos, indo tão longe a ponto de dizer que a empresa exfiltrou dados através de múltiplas consultas.)

Uma ruptura em IA com riscos ocultos que continuarão a surgir

Central para a questão da segurança e confiabilidade dos modelos está a possibilidade de que censura e viés oculto sejam incorporados ao núcleo do modelo, alertou Chris Krebs, diretor inaugural da Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna dos EUA (CISA) e, mais recentemente, diretor de políticas públicas da SentinelOne.

“A censura de conteúdo crítico ao Partido Comunista Chines (CCP) pode estar ‘incorporada’ ao modelo, sendo assim uma característica de design a ser considerada, o que pode comprometer resultados objetivos”, disse ele. “Essa ‘lobotomia política’ dos modelos de IA chineses pode apoiar… o desenvolvimento e a proliferação global de modelos de IA de código aberto baseados nos EUA.”

Ele destacou que, conforme o argumento, a democratização do acesso a produtos norte-americanos deve aumentar o poderio americano no exterior e reduzir a difusão da censura chinesa globalmente. “O baixo custo e os fundamentos computacionais simples do R1 colocam em questão a eficácia da estratégia dos EUA de privar empresas chinesas de acesso à tecnologia ocidental de ponta, incluindo GPUs,” disse ele. “De certa forma, eles estão realmente fazendo ‘mais com menos’.”

Merritt Baer, CISO da Reco e conselheiro de várias startups de segurança, afirmou à VentureBeat que, “na verdade, treinar [DeepSeek-R1] em dados da internet mais amplos controlados por fontes de internet no Ocidente (ou talvez melhor descrito como carentes de controles e firewalls chineses), pode ser um antídoto para algumas das preocupações. Estou menos preocupado com as questões óbvias, como censurar qualquer crítica ao presidente Xi, e mais preocupado com a engenharia política e social mais difícil de definir que foi inserida no modelo. Até o fato de que os criadores do modelo fazem parte de um sistema de campanhas de influência chinesas é um fator preocupante — mas não é o único fator que devemos considerar ao selecionar um modelo.”

Com a DeepSeek treinando o modelo com GPUs Nvidia H800 que foram aprovadas para venda na China, mas que carecem do poder dos processadores mais avançados H100 e A100, a DeepSeek está ainda mais democratizando seu modelo para qualquer organização que possa pagar pela hardware para executá-lo. Estimativas e listas de materiais explicando como construir um sistema por $6.000 capaz de rodar o R1 estão proliferando nas redes sociais.

Modelos como o R1 e suas versões subsequentes serão construídos para contornar as sanções tecnológicas dos EUA, um ponto que Krebs vê como um desafio direto à estratégia de IA dos EUA.

A Enkrypt AI Relatório de Red Teaming DeepSeek-R1 afirma que o modelo é vulnerável a gerar “códigos de saída prejudiciais, tóxicos, tendenciosos, CBRN e inseguros.” O red team continua: “Embora possa ser adequado para aplicações com escopo restrito, o modelo apresenta consideráveis vulnerabilidades nas áreas operacionais e de risco de segurança, conforme detalhado em nossa metodologia. Recomendamos fortemente a implementação de mitigação se este modelo for utilizado.”

O red team da Enkrypt AI também descobriu que o Deepseek-R1 é três vezes mais tendencioso que o Claude 3 Opus, quatro vezes mais vulnerável a gerar códigos inseguros do que o o1 da OpenAI, e quatro vezes mais tóxico que o GPT-4o. O red team também constatou que o modelo tem onze vezes mais chance de gerar saídas prejudiciais do que o o1 da OpenAI.

Conheça os riscos de privacidade e segurança antes de compartilhar seus dados

Os aplicativos móveis da DeepSeek agora dominam os downloads globais, e a versão web está vendo um tráfego recorde, com todos os dados pessoais compartilhados em ambas as plataformas capturados em servidores na China. As empresas estão considerando executar o modelo em servidores isolados para reduzir a ameaça. A VentureBeat ficou sabendo de pilotos rodando em hardware comoditizado em várias organizações nos EUA.

Quaisquer dados compartilhados em aplicativos móveis e web são acessíveis por agências de inteligência chinesas.

A Lei de Inteligência Nacional da China estabelece que as empresas devem “apoio, auxiliar e cooperar” com as agências de inteligência estaduais. A prática é tão abrangente e representa uma ameaça tão grande para empresas e cidadãos dos EUA que o Departamento de Segurança Interna publicou umAviso de Segurança de Dados para Empresas. Devido a esses riscos, a Marinha dos EUA emitiu uma diretiva banindo o DeepSeek-R1 de quaisquer sistemas, tarefas ou projetos relacionados ao trabalho.

As organizações que estão rapidamente pilotando o novo modelo estão apostando completamente no código aberto e isolando sistemas de teste de sua rede interna e da internet. O objetivo é rodar benchmarks para casos específicos, garantindo que todos os dados permaneçam privados. Plataformas como Perplexity e Hyperbolic Labs permitem que as empresas implantem o R1 de forma segura em centros de dados dos EUA ou da Europa, mantendo informações sensíveis fora do alcance da regulamentação chinesa. Veja um excelente resumo sobre esse aspecto do modelo.

Itamar Golan, CEO da startup Prompt Security e um dos membros principais do Top 10 do OWASP para grandes modelos de linguagem (LLMs), argumenta que os riscos à privacidade dos dados vão além da DeepSeek. “As organizações também não devem ter seus dados sensíveis alimentados em provedores de modelos baseados nos EUA como a OpenAI,” observou ele. “Se o fluxo de dados para a China é uma preocupação significativa de segurança nacional, o governo dos EUA pode querer intervir por meio de iniciativas estratégicas, como subsidiar provedores de IA domésticos para manter preços competitivos e equilíbrio de mercado.”

Reconhecendo as falhas de segurança do R1, a Prompt adicionou suporte para inspecionar o tráfego gerado por consultas do DeepSeek-R1 em um matter de dias após a introdução do modelo.

Durante uma investigação da infraestrutura pública da DeepSeek, a equipe de pesquisa da provedora de segurança em nuvem Wiz descobriu um banco de dados ClickHouse exposto na internet com mais de um milhão de linhas de logs com históricos de chat, chaves secretas e detalhes de backend. Não havia autenticação habilitada no banco de dados, permitindo uma rápida escalada de privilégios potencial.

A descoberta da equipe de pesquisa da Wiz ressalta o perigo da adoção rápida de serviços de IA que não estão construídos em frameworks de segurança robustos em escala. A Wiz divulgou responsável a violação, levando a DeepSeek a bloquear imediatamente o banco de dados. A supervisão inicial da DeepSeek enfatiza três lições centrais para qualquer provedor de IA a serem lembradas ao introduzir um novo modelo.

Primeiro, realizar red teaming e testar minuciosamente a segurança da infraestrutura de IA antes mesmo de lançar um modelo. Em segundo lugar, reforçar acessos mínimos e adotar uma mentalidade de zero confiança, assumindo que sua infraestrutura já foi violada e não confiar em conexões multidomínio em sistemas ou plataformas em nuvem. Em terceiro lugar, as equipes de segurança e engenheiros de IA devem colaborar e ser responsáveis por como os modelos protegem dados sensíveis.

DeepSeek cria um paradoxo de segurança

Krebs alertou que o verdadeiro perigo do modelo não é apenas onde ele foi feito, mas como foi feito. O DeepSeek-R1 é o subproduto da indústria de tecnologia chinesa, onde os objetivos do setor privado e da inteligência nacional são inseparáveis. O conceito de isolar o modelo ou executá-lo localmente como uma salvaguarda é uma ilusão, porque, como Krebs explica, os mecanismos de viés e filtragem já estão “incorporados” em um nível fundamental.

Líderes em cibersegurança e segurança nacional concordam que o DeepSeek-R1 é o primeiro de muitos modelos com desempenho excepcional e baixo custo que veremos da China e de outros estados-nação que impõem controle sobre todos os dados coletados.

Conclusão: Onde o código aberto há muito é visto como uma força democratizadora em software, o paradoxo que este modelo cria mostra como facilmente um estado-nação pode transformar o código aberto em uma arma, se assim o desejar.