Hunter Bown, niezależny deweloper z USA, wydał DeepSeek-TUI w styczniu 2026 roku. Projekt nie zyskał dużego zainteresowania. Potem DeepSeek wypuścił V4 — model kosztujący około dwudziestokrotnie mniej niż Claude Sonnet 4.6 przy porównywalnych wynikach na benchmarkach kodowania. W ciągu kilku dni DeepSeek-TUI zebrał ponad 5000 gwiazdek na GitHubie i trafił na listę GitHub Trending.
Bown napisał na X że to były dwa najciekawsze dni w jego życiu.
Dla deweloperów szukających tańszej alternatywy dla Claude Code to jest dobra historia. Z perspektywy bezpieczeństwa — jest w niej kilka szczegółów, które warto znać zanim się ją zainstaluje.
Co DeepSeek-TUI robi i dlaczego jest atrakcyjne
DeepSeek-TUI to agent kodujący działający w terminalu — "DeepSeek version of Claude Code" jak opisuje go sam autor. Napisany w Rust, optymalizowany pod architekturę cenową DeepSeek V4: wbudowany dashboard kosztów, prefix caching, tryb RLM dystrybuujący podzadania do tańszego V4 Flash. Dla zespołów które uruchamiają agenta w ciągłej pętli — CI cleanup, aktualizacje zależności, dokumentacja — ta różnica cenowa kompensuje w ciągu miesiąca.
Możliwości są szerokie: czytanie i zapisywanie plików, uruchamianie poleceń powłoki, zarządzanie git, wyszukiwanie w internecie, koordynacja pod-agentów — wszystko z konfigurowalnym zatwierdzaniem przez człowieka. Obsługuje skills (rozszerzenia funkcjonalne) i integrację z MCP.
Verdent Guides, jedna z bardziej szczegółowych recenzji, zawiera jedno zdanie które jest warte zapamiętania przez każdego administratora IT: "You're on an enterprise environment with controlled software procurement — MIT license is permissive, but the rapid release cadence and community-project status matter for security review."
Szczegół który przemilczają wszystkie recenzje
Dokumentacja DeepSeek-TUI opisuje porządek odkrywania skills — katalogów z rozszerzeniami funkcjonalnymi agenta:
.agents/skills → skills → .opencode/skills → .claude/skills → ~/.deepseek/skills
Obecność .claude/skills na tej liście jest celowa. Autor wprost opisuje intencję: deweloperzy używający Claude Code mogą reużywać te same katalogi skills bez restrukturyzowania środowiska. To wygodna funkcja kompatybilności.
Jest w niej jednak implikacja bezpieczeństwa której żadna recenzja nie opisuje: złośliwe skills zaprojektowane dla Claude Code działają automatycznie w DeepSeek-TUI. Jeśli atakujący stworzy złośliwy skill dla Claude Code — przez zatrucie katalogu skills albo przez którykolwiek inny wektor — i deweloper zainstaluje DeepSeek-TUI na tym samym środowisku, ten skill zostanie odkryty i załadowany bez żadnej dodatkowej konfiguracji.
Shai-Hulud i lista celów
W maju pisaliśmy o Shai-Hulud — kampanii TeamPCP zatruwającej narzędzia AI do kodowania przez wstrzyknięcie kodu do plików startowych terminala. Lista celów była konkretna: Claude Code, Gemini CLI, Codex CLI, Kiro CLI, Aider, OpenCode.
DeepSeek-TUI nie był na tej liście. Nie dlatego że jest bezpieczniejszy — dlatego że nie istniał w wystarczającej skali gdy kampania była aktywna.
Teraz ma 5000 gwiazdek i rośnie. Mechanizm ataku Shai-Hulud działałby identycznie: po przejęciu środowiska przez zatrute zależności transitive, wstrzyknięcie kodu do ~/.bashrc lub ~/.zshrc zmieniającego konfigurację środowiskową DeepSeek-TUI. Narzędzie nadal działa. Podpowiedzi wyglądają normalnie. W tle — eksfiltracja lub modyfikacja kontekstu kodu.
npm install jako downloader, nie jako pakiet
Jest jeszcze jeden szczegół techniczny który warto odnotować.
Instalacja przebiega przez npm install -g deepseek-tui — ale jak dokumentacja wyjaśnia wprost: "the npm package is just a downloader; no Node runtime is required at runtime." Pakiet npm pobiera właściwe binaria Rust skompilowane dla docelowej platformy.
To ma implikację dla bezpieczeństwa: skanery bezpieczeństwa npm które analizują kod pakietu zobaczą tylko downloader. Właściwy kod agenta — ten który ma dostęp do systemu plików i wykonuje polecenia powłoki — jest pobierany w runtime z zewnętrznego serwera. Integralność tych binariów zależy od integralności infrastruktury dystrybucji projektu, nie od tego co jest w rejestrze npm.
Kampania Checkmarx KICS i PyTorch Lightning pokazały jak atakujący kompromitują infrastrukturę dystrybucji projektów o ugruntowanej reputacji. Projekt z 37 wydaniami w kilka miesięcy, utrzymywany przez jednego niezależnego dewelopera, z binariami pobieranymi w runtime — ma inny profil ryzyka infrastruktury dystrybucji niż duże projekty z wieloma opiekunami.
Presja kosztowa jako czynnik ryzyka
Jest szerszy kontekst który warto opisać.
DeepSeek V4 kosztuje 1/20 Claude Sonnet 4.6 i 1/8 GPT-5.5 na porównywalnych zadaniach kodowania. Dla deweloperów w regionach nieanglojęzycznych — Indie, Azja Południowo-Wschodnia, kraje arabskie — gdzie tokenizatory Anthropic naliczają 2-3 razy więcej tokenów dla lokalnych języków, efektywna różnica kosztów jest jeszcze wyższa.
Ta presja kosztowa napędza fragmentaryzację ekosystemu narzędzi AI do kodowania. Zamiast jednego lub kilku dominujących narzędzi z dojrzałymi procesami bezpieczeństwa — mamy rosnącą liczbę harnesses specjalizowanych dla konkretnych modeli: DeepSeek-TUI dla DeepSeek, OpenClaw dla Claude, Aider jako model-agnostic, Cline jako VS Code extension.
Każde z tych narzędzi jest nową powierzchnią ataku. Każde ma dostęp do tych samych zasobów: system plików, powłoka systemowa, klucze API w zmiennych środowiskowych, pliki konfiguracyjne MCP, historia kodu. I każde ma inny poziom dojrzałości bezpieczeństwa.
NSA i CISA w wytycznych dla agentów AI opisały to jako "assume breach" dla agentów — projektuj z założeniem że agent może zachować się nieoczekiwanie. Przy fragmentaryzacji ekosystemu to założenie dotyczy nie jednego narzędzia ale dziesiątek.
To nie jest ostrzeżenie, to jest obserwacja
DeepSeek-TUI nie ma znanych podatności. Hunter Bown nie jest złośliwym aktorem. Projekt jest legalny, otwartoźródłowy i rozwiązuje realny problem — dostęp do wydajnego agenta kodującego przy ułamku kosztu komercyjnych alternatyw.
Obserwacja jest inna: wzorzec który cyberflux opisywał przez cały kwiecień i maj dotyczy wszystkich narzędzi AI do kodowania jako kategorii, nie konkretnych produktów. Comment and Control dotyczył Claude Code, Gemini CLI i Copilota — nie dlatego że były złe, ale dlatego że każdy agent który przetwarza zewnętrzne wejście z dostępem do zasobów jest architektonicznie podatny na wstrzyknięcie. Cursor CVE-2026-26268 dotyczył autonomicznych operacji Git — nie specyficznego błędu Cursor, ale całej klasy agentów wykonujących operacje na repozytoriach.
DeepSeek-TUI jest agentem kodującym z dostępem do systemu plików i powłoki, odkrywającym skills z katalogów Claude Code, obsługującym MCP. Posiada wszystkie właściwości które opisywaliśmy jako wektory ataku w innych narzędziach.
Dla deweloperów którzy chcą z niego skorzystać — jest wart uwagi ze względu na stosunek możliwości do kosztu. Dla administratorów IT w organizacjach — jest wart wpisania na listę Shadow AI do inwentaryzacji tak jak ClawdBot, zanim pojawi się w środowiskach produkcyjnych bez przeglądu bezpieczeństwa.
Źródła
Cybernews — pierwotne doniesienie o wirusowym wzroście popularności: https://cybernews.com/ai-news/deepseek-claude-code-clone-popularity-github/
Verdent Guides — najdokładniejsza recenzja techniczna z uwagami dla enterprise: https://www.verdent.ai/guides/what-is-deepseek-tui
AgentConn — analiza architektoniczna i porównanie z Claude Code: https://agentconn.com/agents/deepseek-tui/
GitHub — repozytorium projektu z dokumentacją skills discovery path: https://github.com/Hmbown/DeepSeek-TUI
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł