Sommario
Il dibattito su DeepSeek, l’azienda cinese che sta scuotendo il mondo dell’intelligenza artificiale, continua ad accendersi. Da un lato, Pavel Durov, CEO di Telegram, ha elogiato il sistema educativo cinese, attribuendogli il merito della rapida crescita dell’AI nel paese. Dall’altro, è emerso un problema di sicurezza legato a DeepSeek: due pacchetti Python dannosi, deepseeek e deepseekai, sono stati pubblicati su PyPI, tentando di sottrarre dati sensibili agli sviluppatori.
Pavel Durov: “La Cina domina l’AI grazie alla sua scuola”
Durov ha attribuito il successo di DeepSeek e della Cina nel campo dell’AI al loro sistema educativo competitivo, contrapposto a quello occidentale, che secondo lui demotiva gli studenti di talento.
Nel suo intervento su Telegram, il fondatore di Telegram ha evidenziato come il sistema scolastico cinese sia fortemente orientato verso la competizione matematica e scientifica, un modello ispirato all’educazione sovietica. In contrapposizione, Durov critica il sistema occidentale per aver eliminato la trasparenza nei risultati accademici, proteggendo gli studenti dal fallimento ma al tempo stesso riducendo la loro motivazione.
Secondo Durov, questo approccio potrebbe compromettere la competitività dell’Occidente nel settore tecnologico, in particolare nel campo dell’intelligenza artificiale, dove la Cina sta guadagnando terreno a ritmi vertiginosi.
Minaccia sulla supply chain: pacchetti PyPI malevoli legati a DeepSeek
Mentre DeepSeek continua a crescere come azienda AI, il nome è stato sfruttato in un attacco alla supply chain software. Il 29 gennaio 2025, un utente con il nickname bvk ha caricato su Python Package Index (PyPI) due pacchetti malevoli:
- deepseeek
- deepseekai
Questi pacchetti contenevano codice dannoso in grado di rubare variabili d’ambiente, che spesso includono API key, credenziali di database e permessi di accesso a infrastrutture cloud. Il malware era progettato per attivarsi automaticamente quando il comando del pacchetto veniva eseguito nel terminale.
Danni potenziali e diffusione
Gli attacchi alla supply chain sono particolarmente pericolosi perché possono compromettere interi ecosistemi software. Sebbene PyPI abbia rimosso rapidamente i pacchetti, questi sono stati scaricati almeno 222 volte, un numero che potrebbe sembrare piccolo ma che in un contesto aziendale può avere conseguenze critiche.
L’analisi del codice ha rivelato che il malware usava Pipedream, una piattaforma di integrazione per sviluppatori, come server di comando e controllo, dimostrando un’elevata sofisticazione nella gestione del furto di dati.
DeepSeek continua a rappresentare un tema caldo sia per l’innovazione AI che per le minacce informatiche. Da un lato, il riconoscimento di Pavel Durov rafforza l’idea che il modello educativo cinese stia favorendo una nuova generazione di esperti AI. Dall’altro, il caso dei pacchetti PyPI compromessi dimostra come il nome DeepSeek venga sfruttato anche per scopi malevoli, alimentando la preoccupazione sulla sicurezza della supply chain software.
Le aziende e gli sviluppatori devono prestare massima attenzione nell’uso di pacchetti open-source, verificando sempre le fonti prima di installare nuove librerie. Nel frattempo, il dibattito su come mantenere la competitività dell’Occidente nel settore dell’intelligenza artificiale rimane aperto.
