Deepseek и безопасность: анализ рисков и уязвимостей

DeepSeek — популярное приложение на основе искусственного интеллекта, которое стремительно ворвалось в топы загрузок App Store и Google Play в начале 2025 года. Этот китайский AI-сервис позиционируется как конкурент ChatGPT, привлекая миллионы пользователей по всему миру благодаря своим инновационным возможностям и широкому функционалу. Однако вместе с ростом популярности появились и серьезные опасения: безопасно ли пользоваться DeepSeek в его нынешнем виде, не подвергая риску личные данные и конфиденциальную информацию? Какие существуют уязвимости DeepSeek, о которых стоит знать каждому пользователю, и каковы основные риски для приватности данных? 

В этой статье мы подробно рассмотрим, насколько надежна китайская AI-технология с точки зрения защиты личных данных, проанализируем свежие факты о найденных «дырах», возможных утечках информации и потенциальных угрозах, которые могут возникнуть при использовании этого приложения.

cloud

Взлет популярности и первые сомнения

В январе 2025 года китайское приложение на основе искусственного интеллекта DeepSeek стремительно набрало популярность, привлекая внимание миллионов пользователей по всему миру. 

Однако вместе с ростом популярности появились серьёзные опасения среди экспертов по кибербезопасности. Специалисты начали изучать приложение, чтобы понять, безопасно ли его использовать и не несёт ли оно скрытые угрозы. Поводом стали сообщения о чрезмерном сборе пользовательской информации и передаче её на сторонние серверы. Например, исследователи обнаружили, что DeepSeek активно собирает данные об устройстве, включая имя, которое часто совпадает с именем владельца. Такие сведения в сочетании с IP-адресом и рекламными идентификаторами могут позволить идентифицировать пользователя, что вызвало волну обсуждений в сети относительно уровня безопасности DeepSeek и возможных рисков для приватности данных.

Особенно остро вопрос встал для владельцев iPhone, так как исследования начались с iOS-версии приложения. К 8 февраля 2025 года независимый аудит выявил множество критических уязвимостей в DeepSeek для iOS. Кроме того, в конце января 2025 года команда исследователей из компании Wiz обнаружила незащищённую базу данных, содержащую свыше миллиона записей с историями чат-сессий, внутренними логами и даже секретными ключами API — всё в незашифрованном виде. Любой мог получить доступ к перепискам и служебной информации через обычный браузер. Эксперты Wiz отмечают, что эта уязвимость позволяла злоумышленникам читать сообщения, добывать пароли и файлы с серверов DeepSeek. После уведомления разработчиков база была оперативно закрыта, однако остаётся неизвестно, успели ли злоумышленники воспользоваться этой «дырой». ​

Эти события вызвали обеспокоенность регулирующих органов по всему миру. Италия временно заблокировала доступ к китайскому чат-боту DeepSeek, мотивируя это защитой данных граждан, а в Ирландии начата проверка на соответствие требованиям европейского законодательства о персональных данных. В США Пентагон и NASA запретили использование приложения; аналогичные меры приняты и в ВМС. Австралия и Южная Корея также ограничили применение DeepSeek в государственных структурах. Правительства предпочитают не рисковать конфиденциальной информацией, предостерегая граждан от использования потенциально опасного приложения.

Отключенное шифрование трафика

Одной из самых серьёзных находок стал факт отключения разработчиками встроенной системы защиты данных в iOS под названием App Transport Security (ATS). Обычно ATS гарантирует, что все соединения приложения с интернетом зашифрованы и защищены. Однако в DeepSeek эту функцию сознательно деактивировали. Проще говоря, приложение передаёт информацию без шифрования — в открытом виде. Специалисты предупреждают: это означает, что любой трафик DeepSeek может быть перехвачен, прочитан или даже подменён злоумышленниками, имеющими доступ к сети, через которую идёт соединение. Фактически, отключение ATS снимает важный уровень защиты iPhone по умолчанию, ставя под угрозу данные пользователей.

Какие данные могут утекать из-за отсутствия шифрования? 

Практически любые — от текстов запросов к чат-боту до сведений об устройстве. Даже если каждая передаваемая часть информации по отдельности не кажется критичной, в совокупности они позволяют собрать детальный профиль пользователя. Эксперты отмечают, что анонимные на первый взгляд данные, объединённые с метаданными устройства и IP-адресом, могут использоваться для точной идентификации человека. 

Таким образом, отсутствие базового шифрования создаёт серьёзную дыру в безопасности: посторонние могут подсмотреть активность пользователя или перехватить личные сведения из передаваемого трафика.

Устаревшее шифрование данных

Даже там, где DeepSeek пытается защитить передаваемую информацию, ситуация далека от идеала. Выяснилось, что шифрование реализовано с использованием алгоритма Triple DES (3DES) — устаревшего метода, известного своими уязвимостями. Алгоритм 3DES давно считается небезопасным, поскольку современные стандарты (например, AES) обеспечивают гораздо более высокий уровень защиты. Тем не менее приложение продолжает использовать 3DES для части данных вместо перехода на актуальные криптографические решения. 

Более того, исследователи NowSecure обнаружили, что разработчики DeepSeek зашили криптографический ключ прямо в код приложения, что позволяет злоумышленникам легко извлечь его и расшифровать защищённые фрагменты переписки. 

Таким образом, шифрование не обеспечивает надлежащей защиты: атакующему достаточно знать уязвимый алгоритм и ключ, чтобы получить доступ к тому, что считалось секретным. Всё это делает техническую реализацию безопасности приложения крайне сомнительной и открывает новые возможности для атак.

Сбор данных и передача на сторонние серверы

Помимо технических уязвимостей, тревогу вызывает способ обработки DeepSeek пользовательской информации. Специалисты установили, что приложение собирает данные не только о запросах, но и о самом устройстве и его окружении — уникальные идентификаторы, настройки и прочие метаданные. В сочетании с отсутствием шифрования это позволяет сервису накопить значительный объем сведений о пользователях. Возникает вопрос: для чего и куда направляется этот массив данных? 

Анализ трафика показал, что информация уходит на серверы, связанные с китайской компанией ByteDance, известной по TikTok, — данные пользователей DeepSeek направляются в Китай зачастую без должного шифрования. Следует учесть, что DeepSeek — продукт китайской компании, которая по законам КНР может быть обязана предоставлять данные по запросу властей. Таким образом, конфиденциальность переписки и персональных сведений оказывается под вопросом не только из-за возможных хакеров, но и из-за риска доступа третьих лиц через инфраструктуру сервиса.

Опасен ли DeepSeek для iPhone и других устройств?

Обнаруженные проблемы особенно критичны для пользователей iPhone, поскольку уязвимости были подтверждены именно в iOS-версии приложения. Однако ситуация с Android может быть ещё хуже, так как на этой платформе зачастую применяется менее строгая система безопасности, а значит, DeepSeek там может быть ещё более уязвимым. В результате эксперты рекомендуют удалить DeepSeek с iPhone, а предприятиям — запретить его использование на рабочих устройствах. Таким образом, пользоваться DeepSeek на устройствах Apple небезопасно, так как приложение может разглашать персональные данные без ведома владельца и открывать лазейки для кибератак. Пользователям других платформ также стоит проявлять осторожность — если разработчики допускают такие серьёзные просчёты в безопасности, доверять им свои данные рискованно независимо от типа устройства.

Практические рекомендации и альтернативные решения

Если DeepSeek уже установлен, в первую очередь рекомендуется ограничить доступ к личной информации: отключить ненужные разрешения в настройках (камеру, микрофон, контакты и геолокацию), не использовать приложение для вводa конфиденциальных данных и включить любой доступный антивирус, чтобы хотя бы частично защитить себя. Для надёжной замены можно присмотреться к продуктам вроде ChatGPT или Bing Chat, которые уделяют больше внимания политике конфиденциальности и шифрованию соединений. Другие альтернативы — NeuroGPT или Claude — также заявляют об усиленной защите пользовательской информации; перед выбором лучше изучить их политику безопасности и отзывы экспертов. В целом, если остаётся сомнение, имеет смысл удалить DeepSeek, провести проверку устройства антивирусом и при необходимости сменить ключевые пароли, чтобы исключить риск утечки и минимизировать последствия возможных уязвимостей.

Подготовили для вас выгодные тарифы на облачные серверы

Заключение

Специалисты рекомендуют временно воздержаться от использования DeepSeek до устранения выявленных проблем безопасности. Пользователям следует действовать осмотрительно: не вводите через приложение личные или рабочие данные, регулярно проверяйте настройки конфиденциальности и отключайте лишние разрешения. Также стоит рассмотреть альтернативные AI-сервисы, как описывалось выше, где защита данных находится в приоритете. Пока ситуация не изменится, разумнее следить за обновлениями и официальными заявлениями разработчиков, проводя аудит установленных приложений и своевременно обновляя настройки безопасности. Такой подход поможет минимизировать риск утечек данных и кибератак.