בתשובה לאביב, 28/01/25 14:25
776407
שוטה הכפר הגלובליבתשובה לאביב יום ג', 28/1/2025, 15:53
אפשר תמיד לשאול את deepseek (התוכנה) אם האפליקציה היא רוגלה.

וברצינות, מה הבעיה לגלות את מדובר ברוגלה? ומה הבעיה לפתח אפליקציות שמייתרות את האפליקציה המקורית, כאשר הקוד של המנוע עצמו בידיך?
776773
אביב • בתשובה לשוטה הכפר הגלובלי שבת, 8/2/2025, 23:00
גם אם לא רוגלה (נניח), בטוח שלא מדובר באפליקציה מאובטחת (אפילו לא עם אבטחה סופר מינימלית של תקשורת מוצפנת).
אכן לא קשה לגלות זאת ואנשים כבר מודעים ומדברים על העניין.

אפליקציית DeepSeek ל-iOS שולחת נתונים לא מוצפנים לשרתים בשליטת ByteDance.
ב-iOS הדיפולט עבור מפתח אפליקציות שמקשקשות ברשת זה השימוש ב- App Transport Security (בקיצור - ATS). שזה בעצם הכרזות בקונפיגורציה של הבילד שמחייבת את האפליקציה לעבוד רק מול שרתים ספציפיים שהוכרז עליהם מראש ורק ב-HTTPS.
מפתחי האפליקציה של DeepSeek ל-iOS בחרו לשנות את ברירת המחדל הזאת (או בכוונה או מתוך רשלנות) ולשלוח אינפורמציה מהצ׳טים של משתמשים אל שרתים ב-HTTP ללא שום הצפנה. כל Man in the middle פשוט יכול להציץ בתוכן התעבורה.
776774
אביב • בתשובה לאביב שבת, 8/2/2025, 23:09
כדי להיות יותר מדויק: הם בעצם בוחרים לא להשתמש בהתנהגות הדיפולטית של ATS ומשתמשים ב-3DES במקום. שיטת הצפנה מ-‏1998 שהיא פגיעה ל-Man in the middle.

מסתבר גם שהאפליקציה לאנדרואיד גרועה אפילו יותר.
776794
שוטה הכפר הגלובליבתשובה לאביב יום א', 9/2/2025, 16:38
Open Source לא אומר שכל אלה (וגם הצנזורה שסין הכניסה לשאילתות מסויימות) ניתנים לשינוי בקלות?
776796
אביב • בתשובה לשוטה הכפר הגלובלי יום א', 9/2/2025, 17:14
יש את האופן בו אימנו את המודל (לא open source), יש את המשקלות של המודל (open source) ויש את אפליקצית המובייל Deepseek - AI Assistant (לא open source) אותה מיליוני אנשים מורידים מה-Appstore של אפל או מ-google play.
המאמר ב-Ars technica מדבר על האפליקציה.
776783
אביב • בתשובה לשוטה הכפר הגלובלי יום א', 9/2/2025, 12:21
נראה שהכניסו קצת יותר דיוקים למאמר של Ars Technica. אין באמת עדויות לכך שהאפליקציה שולחת תוכן של צ׳טים והמאמר טוען לשליחה של אינפורמציה מאוד ספציפית ב-HTTP רק בזמן הרישום.
הורדתי למכשיר בדיקה את האפליקציה והאזנתי לפעילות הרשת של האפליקציה והיו רק בקשות https בבדיקה שלי (אך לא שהשקעתי בזה זמן / יותר משתי דקות). כך שלא הצלחתי אפילו לשחזר את מה שנטען במאמר. או שזה לא תמיד קורה, או שהעלו גירסה חדשה עם שינוי התנהגות מאז הפרסומים בנושא.

לסיכום:
- יש סיכוי שהמאמרים בנושא יותר אלארמיסטיים (לפחות בכותרות שלהם) מאשר משקפים באמת בעיה.
- אני אישית (וגם כך הייתי מיעץ לכל אירגון) הייתי בכל זאת נמנע מלזרוק אינפורמציה רגישה בתוך אפליקציות מהסוג הזה. אם ממש רוצים לנהל שיחות נפש עם מידע רגיש מול LLM, התקינו מודל מקומי על המחשב שלכם (או שרת/ענן תחת השליטה שלכם).
חזרה לעמוד הראשי המאמר המלא
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים
האייל הקורא RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש והצהרת נגישות © כל הזכויות שמורות