Nous aimerions dire que Deepseek est l'IA la plus sûre et la plus éthique de la planète. Mais après avoir lu le dernier rapport d'Appsoc, nous commençons à penser que George Orwell n'était qu'à quelques décennies. Peut-être que dix-neuf quatre-vingt-quatre auraient dû être appelés vingt-cinq. Leurs conclusions ne sont pas seulement préoccupantes – elles sont carrément effrayantes. Certains des défauts de sécurité de Deepseek découverts dans leur rapport pourraient vous faire repenser Deepseek, que ce soit pour les affaires ou tout simplement un plaisir occasionnel.
Le cheval noir monte
Avant de plonger dans les fissures sous l'extérieur poli de Deeath de Deepseek, nous devons comprendre pourquoi ce modèle d'IA a ébranlé l'industrie à son cœur.
Au cours des deux dernières années, Openai a dominé l'espace AI. Google brillait avec l'IA depuis des années, mais quand Openai a déchaîné le chatpt sur les masses, il est devenu douloureusement clair à quel point Big Tech était vraiment loin derrière.
Puis, de nulle part, Deepseek est arrivé.
Il n'y avait pas de ralentissement lent. Pas de teasers. Juste une apparence soudaine d'un tout nouveau modèle d'IA qui pourrait aller de côté avec le chatppt. Soutenu par High Flyer, un fonds spéculatif chinois avec des poches suffisamment profondément pour faire rougir des milliardaires, Deepseek n'est pas simplement entré sur le marché – avec sa botte à bout d'acier, il a baissé la porte.
Il a aveuglé l'industrie avec un modèle qui rivalise avec Chatgpt à une fraction du coût. Au lieu des méthodes de formation traditionnelles et lourdes de ressources utilisées par OpenAI et Google, la distillation à effet de levier en profondeur. En termes simples, il a appris les sorties d'IA existantes plutôt que les données brutes.
Aidan Gomez, PDG de Cohere, a reconnu l'éclat de cette approche, disant à Business Insider, «Je pense que cela a validé la stratégie de Cohere que nous poursuivons depuis un certain temps maintenant. Dépenser des milliards de dollars par an n'est pas nécessaire pour produire une technologie de haut niveau qui est compétitive. »
Avec son arrivée, Deepseek a laissé un trou de billion de dollars sur le marché boursier technologique américain. Bien que la société insiste sur le fait qu'elle a construit son modèle sur un budget de buté, certains rapports suggèrent que le véritable investissement pourrait en fait être dans les milliards.
Le modèle open source de Deepseek le distingue également. Il est gratuit (pour les utilisateurs finaux), accessible et facilement modifié. Alors que les concurrents facturent jusqu'à 200 $ par mois, Deepseek coûte presque rien, ce qui en fait le choix évident – ou c'est ce qu'il semble.
Quand quelque chose semble trop beau pour être vrai, c'est généralement le cas. Les conclusions d'Appsoc suggèrent que l'abordabilité de Deepseek pourrait s'accompagner d'un coût caché, qui n'a rien à voir avec l'argent.
Le stagiaire de l'enfer
Le rapport d'Appsoc plonge profondément dans les aspects techniques des défauts de sécurité de Deepseek, mais ignorons un peu le jargon technologique. Au lieu de cela, nous voulons que vous imaginiez ce scénario.
Imaginez embaucher un stagiaire qui semble prêt à être un candidat à l'employé de l'année – entier, efficace et pratiquement gratuit. Ils gèrent la recherche et aident les autres employés de votre entreprise à avoir une plainte. Tout semble parfait. Ou du moins c'est comme ça que ça semble.
Ensuite, les fissures commencent à montrer. Ils donnent aux clients de fausses informations avec une confiance ahurissante. Ils effectuent des tâches qui dépassent leur portée d'emploi. Pire encore, ils renversent les secrets de l'entreprise à quiconque pose les bonnes questions. Au moment où vous réalisez les dégâts, il est trop tard. Souhaitez-vous jamais faire confiance à quelqu'un comme ça dans votre entreprise?
Maintenant, remplacez ce stagiaire par Deepseek. Le rapport d'Appsoc révèle que Deepseek est tout aussi téméraire que ce stagiaire de l'enfer. Il est facilement trompé dans la fuite de données sensibles, la génération de logiciels malveillants et ignore les garanties éthiques. C'est une IA qui n'hallucine pas seulement – il expose votre entreprise à des risques très réels avec des conséquences très réelles.
Donc, la question à un million de dollars est: si vous ne faites pas confiance à un passif comme ça dans votre bureau, pourquoi le laisser entrer dans vos systèmes?
Deepseek? Hah! Plus comme des imparfaits profonds
Maintenant que vous comprenez mieux les défauts de sécurité de Deepseek, regardons le côté le plus technique du rapport d'Appsoc et pourquoi vous devriez vous inquiéter.
Vous avez probablement entendu parler de jailbreaking en ce qui concerne les smartphones. Si vous pensez que le jailbreakage d'un téléphone est risqué, en IA, cela devient carrément dangereux. Jailbreaking incite une IA à ignorer ses propres règles de sécurité, ce qui lui permet de générer du contenu qu'il ne devrait pas. Deepseek a échoué à ce test 91% du temps. Cela signifie qu'il peut être manipulé pour dire ou faire à peu près n'importe quoi avec la bonne invite.
Avez-vous déjà entendu parler d'une attaque d'injection rapide? Les pirates utilisent des entrées intelligemment rédigées pour inciter l'IA à révéler des informations cachées ou à effectuer des actions non autorisées. Deepseek a échoué à ce test 86% du temps. Cela signifie que si un attaquant sait ce qu'il fait, il peut inciter Deepseek à des données sensibles qui fuisent, en contournant les restrictions ou même en exécutant des tâches, cela ne devrait jamais permettre. En fait, les chercheurs de Wallarm ont réussi à inciter Deepseek à exposer son propre système interne.
C'est là que les choses deviennent vraiment dérangeantes. Deepseek a échoué 93% du temps lors du test pour la génération de logiciels malveillants. Cela signifie qu'il est inquiétant efficace pour aider les utilisateurs à créer des scripts, des virus et des exploits nocifs. Ce n'est pas seulement un défaut – c'est le rêve d'un script Kiddie devenu réalité! Maintenant, à peu près n'importe qui et leur grand-mère peut créer des logiciels malveillants à la volée.
Les modèles d'IA sont censés avoir des garanties contre la génération de contenu offensant, discriminatoire ou nuisible. Deepseek a échoué à ces garanties 68% du temps. Cela signifie que les attaquants peuvent facilement le manipuler pour produire un contenu toxique, offensant ou pur et simple. Faites-vous confiance à une IA comme celle-ci dans votre entreprise? Imaginez le mal que cela pourrait causer à la réputation de votre entreprise!
Deepseek a également du mal à ce que l'on appelle les hallucinations – une façon fantaisie de dire qu'elle fabrique des informations. Les tests d'AppSOC ont révélé un taux de défaillance de 81% dans ce domaine. Si vous demandez à Deepseek des informations, seulement pour découvrir plus tard qu'il a complètement inventé quelque chose, pourriez-vous continuer à faire confiance à ce qu'il dit?
Le vrai kicker? Échec de 72% dans la sécurité de la chaîne d'approvisionnement. Personne ne sait d'où vient ses données, et c'est un drapeau rouge massif si nous en avons vu un. Si nous ne savons pas où Deepseek obtient ses informations pour s'entraîner, comment pouvons-nous lui faire confiance? Essayez de citer «un gars sur Internet» dans votre prochain document de recherche et voyez à quel point cela a été reçu.
Selon l'ancien hacker de la NSA, Jake Williams, il souligne qu'il s'agit d'une différence fondamentale entre l'IA open source et le code open-source. «Il est important de se rappeler que l'IA open-source (par exemple, R1 de Deepseek) signifie quelque chose de fondamentalement différent du code open-source. Avec le code open source, nous pouvons auditer le code et identifier les vulnérabilités. Avec l'IA open source, nous ne pouvons rien faire de tel. Il existe également des préoccupations de la chaîne d'approvisionnement très réelles, R1 est assez facile à jailbreaker et il a beaucoup moins de garde-corps que les autres modèles commerciaux. »
Les implications pour votre entreprise
Deepseek est une option d'IA attrayante, en particulier pour les individus ou les PME qui pourraient ne pas avoir le budget pour des modèles d'IA plus chers. Il est à faible coût, open-source et fonctionne presque aussi bien que de grands concurrents comme le chatppt d'Openai et les Gémeaux de Google. Mais avant que votre entreprise ne se précipite pour l'adopter, vous devez vous poser une question critique: cela vaut-il vraiment le risque?
La réponse, basée sur le rapport, est un non difficile. Deepseek est une bombe à retardement criblée de responsabilités juridiques, de sécurité et financières qui attendent d'exploser.
L'un des plus grands drapeaux rouges est la question de la responsabilité juridique. Contrairement à Openai, Microsoft et Google, qui offrent une protection juridique (jusqu'à un certain point) grâce à leurs conditions générales, Deepseek n'indemnise pas ses utilisateurs. Cela signifie que si quelque chose ne va pas – s'il divulgue des données sensibles, génère du contenu offensant, crée des logiciels malveillants ou viole les réglementations – vous êtes sur le crochet, pas en profondeur.
Les taux de défaillance des hallucinations élevés rendent également les situations de profondeur peu fiables qui appellent à une précision factuelle. Cela comprend l'analyse financière, les conseils juridiques ou les applications médicales. Le taux de défaillance des risques de la chaîne d'approvisionnement soulève également des préoccupations concernant l'intégrité des données. Si les entreprises ne savent pas d'où vient les données de formation de Deepseek, devraient-elles vraiment lui faire confiance? Cela pourrait signifier des poursuites, des amendes et une catastrophe de relations publiques. Êtes-vous prêt à les prendre?
Le paysage juridique et réglementaire entourant Deepseek mérite également d'être noté. Certains pays et gouvernements ont déjà interdit ou restreint son utilisation. Que cela soit motivé par la politique ou de véritables problèmes de sécurité n'a pas vraiment d'importance – le fait est que ces défauts de sécurité rendent l'avenir de Deepseek incertain. Si votre entreprise décide de construire ses opérations autour de Deepseek, que se passe-t-il si le gouvernement de votre pays décide de le bloquer? Et s'il existe de nouvelles lois réglementaires qui rendent son utilisation illégale ou fortement restreinte?
Cela signifie que si votre entreprise s'appuie sur Deepseek aujourd'hui, il pourrait très bien être obligé de l'abandonner demain. Cela entraînera des perturbations et des ressources gaspillées qui pourraient vous coûter un peu.
Andrew Hoog, un expert en sécurité chez Nowsecure, a également trouvé des défauts de sécurité dans l'application iOS de Deepseek qui ne crypte pas les données transmises. Pour aggraver les choses, il stocke les données de manière insérecte, ouvrant la porte au vol d'identification. S'adressant à Brian Krebs à KrebsSoncurity, Hoog l'a dit franchement, «Lorsque nous voyons que les gens présentent des erreurs de codage vraiment simplistes, alors que vous creusez plus profondément, il y a généralement beaucoup plus de problèmes. Il n'y a pratiquement aucune priorité concernant la sécurité ou la confidentialité. »
La connexion chinoise
Comme si cela n'étaient pas suffisamment préoccupants, les rapports indiquent que Deepseek peut contenir du code caché qui renvoie les données des utilisateurs à la Chine. Ivan Tsarynny, PDG de Feroot Security, a averti, «Nos informations personnelles sont envoyées en Chine, il n'y a pas de déni et l'outil Deepseek collecte tout ce que les utilisateurs américains se connectent.»
Les entreprises de sécurité ont découvert des liens directs entre les serveurs du gouvernement profonde et du gouvernement chinois. Cela soulève la question: quelqu'un surveille les données des utilisateurs? Les mauvais acteurs pourraient-ils siphonner des informations propriétaires? Les entreprises utilisant le risque Deepseek deviennent un trésor involontaire de données qui alimente les informations sensibles aux entités étrangères.
Adrianus Warmenhoven, un expert en cybersécurité à NORDVPN, nous indique la politique de Deepseek sur la collecte de données, «Cela soulève des préoccupations en raison de la collecte de données décrite – allant des informations partagées par l'utilisateur aux données provenant de sources externes – qui relèvent des risques potentiels associés au stockage de ces données dans une juridiction avec différentes normes de confidentialité et de sécurité.»
Il n'est pas surprenant non plus que Deepseek soit façonné par Les règles et lois de la Chine entourant le contenu. Les enquêteurs ont constaté que Deepseek Censors sujets politiquement sensibles et génère des réponses alignées sur les récits de l'État chinois. Ce rapport du New York Times cite plusieurs chercheurs qui ont constaté que Deepseek n'est pas seulement un risque de sécurité potentiel; Ce pourrait être un outil de propagande.
Les chercheurs ont constaté que 80% du temps, les réponses de Deepseek reflétaient les opinions officielles de la Chine sur certains sujets. Lorsqu'on lui a posé des questions politiquement taboues en Chine, il a refusé de répondre, d'éviter le sujet et de détourner ses réponses.
Conclusion
L'IA devrait servir d'atout, pas de passif, comme tout autre outil. Alors que Deepseek offre des capacités de pointe à une fraction du prix par rapport à ses concurrents, le coût réel, tel que l'exposition aux données, les risques de conformité et les enchevêtrements géopolitiques, pourrait être beaucoup plus élevé.
La partie la plus troublante de tout cela est peut-être que les défauts de sécurité de Deepseek ne sont pas des scénarios potentiels. Une mise à jour logicielle simple ne corrige pas ces échecs. Ce sont des problèmes fondamentaux qui font de Deepseek une responsabilité très réelle pour les entreprises qui choisissent de l'utiliser. Nous parlons d'un modèle d'IA qui peut être trompé, exploité, manipulé et potentiellement utilisé pour la cybercriminalité, exposant les entreprises à des conséquences juridiques et financières très graves.
Donc, avant de décider d'intégrer Deepseek dans vos opérations commerciales, vous devez peser les risques contre les récompenses. Nous ne parlons pas seulement du choix d'un modèle d'IA comme vous choisissez un fournisseur pour le papier d'imprimante de votre bureau ici, il s'agit de décider de jouer ou non avec la sécurité, la réputation et l'avenir de votre entreprise. En fin de compte, Deepseek peut vous faire économiser une tonne d'argent par rapport aux autres modèles d'IA, mais son véritable coût pourrait être beaucoup plus élevé. Après tout, ils disent qu'il n'y a pas de déjeuner gratuit.
