Anställda i USA och Storbritannien använder i allt högre grad kinesiskt utvecklade GenAI-verktyg som DeepSeek och Moonshot Kimi utan säkerhetsgodkännande. Dessa plattformar avslöjar lite om var indata lagras eller hur den återanvänds. Denna brist på transparens väcker oro för övervakning, stöld av immateriella rättigheter och företagsspionage.
Harmonic Securitys 30-dagarsstudie
Cybersäkerhetsföretaget Harmonic Security övervakade 14 000 användare i flera företag under en månad. Studien visade att 1 av 12 anställda skickade data till kinesiska GenAI-appar. Varje företag laddade i genomsnitt upp 1,2 MB text – tillräckligt för kodsnuttar eller interna dokument.
”All data som skickas in bör betraktas som egendom tillhörande det kinesiska kommunistpartiet,” varnade vd:n Alastair Paterson.
Vilken data läcker?
Analytiker registrerade 535 känsliga dataläckor bland 1 059 GenAI-användare. DeepSeek stod för 85 % av incidenterna. Den läckta informationen fördelade sig enligt följande:
- Kod och utvecklingsrelaterade artefakter: 33 %
- M&A-data (fusioner och förvärv): 18,2 %
- PII (personligt identifierbar information): 17,8 %
- Finansiella register: 14,4 %
- Kunddata: 12,0 %
- Juridiska dokument: 4,9 %
Utvecklare driver trenden genom att klistra in källkod, API-nycklar och systemdetaljer i utländska modeller för att snabba upp arbetsflöden.
Varför väljer anställda fortfarande kinesiska GenAI-verktyg?
Kinesiska verktyg överträffar ofta sina amerikanska motsvarigheter inom vissa områden. Det är denna fördel som får användarna att återvända, även när företag försöker blockera åtkomst. Hårda förbud fungerar sällan – anställda kringgår dem med privata enheter eller web proxy-tjänster.
Ökat regeringsmotstånd
Lagstiftare reagerar. Ett tvåpartiförslag i USA syftar till att förbjuda federala myndigheter från att använda kinesiska AI-modeller. Tyskland har tagit bort DeepSeek från appbutiker, och Australien samt Italien har förbjudit appen på myndighetsenheter. Taiwan följde efter tidigare denna månad.
Slutsats
DeepSeeks prestanda frestar användare – men DeepSeek-datahotet är verkligt. Osynliga uppladdningar överlämnar kodbaser, kundfiler och strategiska planer till utländska servrar. Säkerhetsteam måste gå bortom generella blockeringar. Tydliga riktlinjer, noggrann övervakning och ärlig utbildning av anställda är det bästa försvaret mot den tysta spridningen av otillåtna kinesiska GenAI-verktyg.
0 svar till ”DeepSeek-datahotet slår mot företagsnätverk”