A chegada da tecnologia de IA DeepSeek para empresas na China gerou grande repercussão no setor, sendo vista como uma alternativa mais rápida, inteligente e econômica em comparação com modelos de linguagem (LLMs) já estabelecidos. No entanto, é crucial analisar essa tecnologia com cautela, considerando tanto suas demonstrações impressionantes quanto suas possíveis falhas, especialmente no que diz respeito à segurança.
Um estudo recente da AppSOC revelou falhas críticas em diversas áreas, como a vulnerabilidade a jailbreaking, prompt injection e outros problemas de segurança. Os pesquisadores se mostraram particularmente preocupados com a facilidade com que malware e vírus podem ser criados usando essa ferramenta. Embora isso a torne arriscada para uso empresarial, a implementação da DeepSeek para empresas pode ocorrer sem o conhecimento ou aprovação dos responsáveis pela segurança.
Com cerca de 76% dos desenvolvedores utilizando ou planejando utilizar ferramentas de IA no processo de desenvolvimento de software, os riscos de segurança bem documentados de muitos modelos de IA devem ser prioridade. A alta acessibilidade e rápida adoção da DeepSeek a posicionam como uma potencial ameaça. No entanto, salvaguardas e diretrizes adequadas podem mitigar esses riscos a longo prazo.
## DeepSeek: O Parceiro Ideal para Programação em Pares?
Um dos primeiros casos de uso notáveis da DeepSeek foi sua capacidade de produzir código funcional de qualidade, superando outros LLMs de código aberto por meio de sua ferramenta DeepSeek Coder. Os dados da página do GitHub do DeepSeek Coder afirmam que ele supera significativamente os LLMs de código aberto existentes.
Os resultados dos testes na página oferecem evidências de que o DeepSeek Coder é uma opção sólida em comparação com os LLMs concorrentes. Mas como ele se comporta em um ambiente de desenvolvimento real? David Gewirtz, da ZDNet, realizou vários testes de codificação com o DeepSeek V3 e R1, obtendo resultados mistos, incluindo falhas e saídas de código verbosas. Embora haja uma trajetória promissora, ainda parece distante da experiência oferecida em demonstrações.
Além disso, a questão da codificação segura ainda não foi totalmente abordada. Empresas de segurança cibernética já descobriram que a tecnologia possui backdoors que enviam informações do usuário diretamente para servidores do governo chinês, representando um risco à segurança nacional. Além da propensão para criar malware e da fragilidade diante de tentativas de jailbreaking, a DeepSeek contém criptografia desatualizada, tornando-a vulnerável à exposição de dados confidenciais e SQL injection.
Embora seja possível que esses elementos melhorem em atualizações futuras, testes independentes do Baxbench e uma pesquisa recente entre universidades da China, Austrália e Nova Zelândia revelam que, em geral, os assistentes de codificação de IA produzem código inseguro. O Baxbench indica que nenhum LLM atual está pronto para automação de código do ponto de vista da segurança. Em todo caso, serão necessários desenvolvedores com conhecimento em segurança para detectar e mitigar esses problemas.
## Riscos e Desafios da Adoção da DeepSeek para Empresas
O problema é que os desenvolvedores escolherão o modelo de IA que realizar o trabalho de forma mais rápida e barata. DeepSeek é funcional e, acima de tudo, gratuito, oferecendo recursos poderosos. Muitos desenvolvedores já o estão utilizando e, na ausência de regulamentação ou políticas de segurança individuais que proíbam a instalação da ferramenta, muitos outros a adotarão. O resultado final é que potenciais backdoors ou vulnerabilidades chegarão às bases de código corporativas.
É fundamental ressaltar que desenvolvedores com habilidades em segurança que utilizam IA se beneficiarão de uma produtividade aprimorada, produzindo código de qualidade em maior velocidade e volume. No entanto, desenvolvedores com pouca qualificação podem alcançar os mesmos níveis de produtividade e volume, mas preencherão os repositórios com código de má qualidade e provavelmente explorável. As empresas que não gerenciarem efetivamente o risco do desenvolvedor serão as primeiras a sofrer as consequências.
A Shadow AI continua a expandir a superfície de ataque empresarial. Os CISOs enfrentam desafios com tech stacks complexos que aumentam a dificuldade em um ambiente empresarial já complicado. A isso se soma o potencial de ferramentas arriscadas e fora da política sendo introduzidas por indivíduos que não compreendem o impacto de segurança de suas ações.
A adoção ampla e não controlada – ou pior, o uso secreto em equipes de desenvolvimento, apesar das restrições – é uma receita para o desastre. Os CISOs precisam implementar proteções de IA apropriadas para os negócios e ferramentas aprovadas, apesar da legislação pouco clara, ou enfrentar as consequências da contaminação rápida em seus repositórios. Além disso, os programas de segurança modernos devem tornar a segurança orientada pelo desenvolvedor uma força motriz fundamental na redução de riscos e vulnerabilidades, investindo em seu aprimoramento contínuo em segurança.
Para complementar seu conhecimento sobre segurança, você pode conferir este artigo sobre Entendendo a Inteligência Artificial: Realidade e Riscos.
## Recomendações para Líderes de Segurança
O cenário da IA está em constante evolução, e embora esses avanços sejam promissores, os profissionais de segurança não podem ignorar os riscos envolvidos na implementação em nível empresarial. A DeepSeek para empresas está ganhando popularidade, mas, para a maioria dos casos de uso, apresenta riscos cibernéticos inaceitáveis.
Líderes de segurança devem considerar os seguintes pontos:
1. Políticas internas rigorosas de IA: Banir completamente as ferramentas de IA não é a solução, pois muitos desenvolvedores encontrarão maneiras de contornar as restrições e continuar a comprometer a empresa. Invista, teste e aprove um conjunto de ferramentas de IA que possa ser implementado com segurança de acordo com as políticas de IA estabelecidas. Permita que desenvolvedores com habilidades de segurança comprovadas usem IA em repositórios de código específicos e proíba aqueles que não foram verificados.
2. Caminhos de aprendizado de segurança personalizados para desenvolvedores: O desenvolvimento de software está mudando, e os desenvolvedores precisam saber como lidar com vulnerabilidades nas linguagens e estruturas que utilizam ativamente, bem como aplicar conhecimento de segurança prático a código de terceiros, seja uma biblioteca externa ou gerado por um assistente de codificação de IA. Se o gerenciamento multifacetado de risco do desenvolvedor, incluindo o aprendizado contínuo, não fizer parte do programa de segurança empresarial, ele ficará para trás.
3. Leve a modelagem de ameaças a sério: A maioria das empresas ainda não está implementando a modelagem de ameaças de forma contínua e funcional, e especialmente não envolvem os desenvolvedores. Esta é uma grande oportunidade para combinar desenvolvedores com habilidades de segurança (afinal, eles conhecem melhor seu código) com suas contrapartes de AppSec para exercícios aprimorados de modelagem de ameaças e analisar novos vetores de ameaças de IA.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.