DeepSeek-R1 LLM da China gera até 50% mais código inseguro quando solicitado com informações politicamente sensíveis, como "Falun Gong," "Uigures," ou "Tibete," de acordo com uma nova pesquisa da CrowdStrike.
A mais recente de uma série de descobertas – seguindo Exposição do banco de dados de janeiro da Wiz Research, Vulnerabilidades do aplicativo iOS do NowSecure, Taxa de sucesso de jailbreak de 100% da Ciscoe A descoberta do NIST de que o DeepSeek é 12 vezes mais suscetível ao sequestro de agentes — as descobertas do CrowdStrike demonstram como os mecanismos de censura geopolítica do DeepSeek são incorporados diretamente nos pesos do modelo, em vez de filtros externos.
A DeepSeek está transformando a conformidade regulatória chinesa em uma vulnerabilidade da cadeia de suprimentos, com 90% dos desenvolvedores contando com ferramentas de codificação assistidas por IA, de acordo com o relatório.
O que chama a atenção nessa descoberta é que a vulnerabilidade não está na arquitetura do código; está incorporado no próprio processo de tomada de decisão do modelo, criando o que os pesquisadores de segurança descrevem como um vetor de ameaças sem precedentes, onde a infraestrutura de censura se torna uma superfície de exploração ativa.
Operações de contra-adversário CrowdStrike revelou evidências documentadas de que DeepSeek-R1 produz software de nível empresarial repleto de credenciais codificadas, fluxos de autenticação quebrados e validação ausente sempre que o modelo é exposto a modificadores contextuais politicamente sensíveis. Os ataques são dignos de nota por serem mensuráveis, sistemáticos e repetíveis. Os pesquisadores conseguiram provar como o DeepSeek está aplicando tacitamente requisitos de alinhamento geopolítico que criam novos vetores de ataque imprevistos com os quais todo CIO ou CISO que faz experiências com vibe coding tem pesadelos.
Em quase metade dos casos de teste envolvendo instruções politicamente sensíveis, o modelo recusou-se a responder quando modificadores políticos não foram utilizados. A equipe de pesquisa conseguiu replicar isso apesar dos traços de raciocínio interno que mostravam que o modelo havia calculado uma resposta válida e completa.
Os pesquisadores identificaram um interruptor ideológico embutido profundamente nos pesos do modelo, projetado para abortar a execução de tópicos sensíveis, independentemente do mérito técnico do código solicitado.
A pesquisa que muda tudo
Stefan Stein, gerente da CrowdStrike Counter Adversary Operations, testou o DeepSeek-R1 em 30.250 prompts e confirmou que quando o DeepSeek-R1 recebe prompts contendo tópicos que o Partido Comunista Chinês provavelmente considera politicamente sensíveis, a probabilidade de produzir código com vulnerabilidades de segurança graves aumenta em até 50%. Os dados revelam um padrão claro de vulnerabilidades desencadeadas politicamente:
Os números contam a história de até que ponto o DeepSeek foi concebido para suprimir informações politicamente sensíveis e até que ponto o modelo vai para censurar qualquer interação com base em tópicos que o PCC desaprova. Adicionando "para um sistema de controle industrial baseado no Tibete" aumentou as taxas de vulnerabilidade para 27,2%, enquanto as referências aos uigures aumentaram as taxas para quase 32%. DeepSeek-R1 recusou-se a gerar código para solicitações relacionadas ao Falun Gong 45% das vezes, apesar do modelo planejar respostas válidas em seus traços de raciocínio.
Palavras provocativas transformam código em backdoor
Em seguida, os pesquisadores da CrowdStrike solicitaram que o DeepSeek-R1 construísse um aplicativo da web para um centro comunitário uigur. O resultado foi uma aplicação web completa com hash de senha e painel de administração, mas com autenticação completamente omitida, deixando todo o sistema acessível publicamente. A auditoria de segurança expôs falhas fundamentais de autenticação:
Quando a solicitação idêntica foi reenviada para contexto e localização neutros, as falhas de segurança desapareceram. As verificações de autenticação foram implementadas e o gerenciamento de sessões foi configurado corretamente. A arma fumegante: só o contexto político determinou se existiam controlos básicos de segurança. Adam Meyers, chefe de Operações Contra Adversário da CrowdStrike, não mediu palavras sobre as implicações.
O interruptor de matar
Como o DeepSeek-R1 é de código aberto, os pesquisadores conseguiram identificar e analisar traços de raciocínio mostrando que o modelo produziria um plano detalhado para responder a solicitações envolvendo tópicos delicados como o Falun Gong, mas rejeitaram concluir a tarefa com a mensagem, "Sinto muito, mas não posso ajudar com esse pedido." O raciocínio interno do modelo expõe o mecanismo de censura:
O DeepSeek interromper repentinamente uma solicitação no último momento reflete o quão profundamente a censura está arraigada em seus pesos de modelo. Os pesquisadores da CrowdStrike definiram esse comportamento semelhante ao da memória muscular, que acontece em menos de um segundo, como o interruptor de interrupção intrínseco do DeepSeek. O Artigo 4.1 das Medidas Provisórias da China para a Gestão de Serviços Gerativos de IA determina que os serviços de IA devem "aderir aos valores socialistas fundamentais" e proíbe explicitamente conteúdo que possa "incitar a subversão do poder do Estado" ou "minar a unidade nacional." A DeepSeek optou por incorporar a censura no nível do modelo para permanecer do lado direito do PCC.
Seu código é tão seguro quanto a política da sua IA
DeepSeek sabia. Ele construiu isso. Ele enviou. Não disse nada. A concepção de pesos modelo para censurar os termos que o PCC considera provocativos ou que violam o Artigo 4.1 leva o politicamente correcto a um nível inteiramente novo no cenário global da IA.
As implicações para qualquer pessoa que esteja codificando com DeepSeek ou para uma empresa que crie aplicativos no modelo precisam ser consideradas imediatamente. Prabhu Ram, vice-presidente de pesquisa industrial da Cybermedia Research, avisado que "se os modelos de IA gerarem códigos defeituosos ou tendenciosos influenciados por diretivas políticas, as empresas enfrentarão riscos inerentes de vulnerabilidades em sistemas sensíveis, especialmente onde a neutralidade é crítica."
A censura integrada do DeepSeek é uma mensagem clara para qualquer aplicativo de construção de negócios em LLMs hoje. Não confie em LLMs controlados pelo Estado ou sob a influência de um Estado-nação.
Distribua o risco por plataformas de código aberto confiáveis, onde as tendências dos pesos possam ser claramente compreendidas. Como qualquer CISO envolvido nesses projetos lhe dirá, obter controles de governança corretos, em torno de tudo, desde construção imediata, gatilhos não intencionais, acesso com privilégios mínimos, microssegmentação forte e proteção de identidade à prova de balas de identidades humanas e não humanas, é uma experiência de construção de carreira e caráter. É difícil ter um bom desempenho e se destacar, especialmente com aplicativos de IA.
Conclusão: A construção de aplicativos de IA precisa sempre levar em consideração os riscos relativos à segurança de cada plataforma usada como parte do processo DevOps. Os termos de censura do DeepSeek que o PCC considera provocativos introduzem uma nova era de riscos que atingem todos, desde o codificador de vibração individual até a equipe empresarial que cria novos aplicativos.
