圖為湖北省襄陽市老年大學授課教師為學員講解如何使用DeepSeek人工智能應用。 新華社發(fā)（楊東 攝）

  隨著DeepSeek（深度求索）的全球爆火，網(wǎng)絡攻擊也接踵而至，引發(fā)業(yè)界對大模型安全的關注。專家認為，此次針對DeepSeek的網(wǎng)絡攻擊持續(xù)時間長、破壞力大、手段多、變化快，折射出當前復雜而嚴峻的網(wǎng)絡安全形勢。

  DeepSeek頻遭攻擊

  奇安信Xlab實驗室近期連續(xù)發(fā)布的安全報告顯示，今年以來，DeepSeek先后遭遇反射攻擊、HTTP代理攻擊、DDoS攻擊（分布式拒絕服務攻擊）、僵尸網(wǎng)絡等各種安全威脅，甚至一度對正常服務造成嚴重影響。

  奇安信Xlab實驗室安全專家王輝說，與以往的網(wǎng)絡攻擊事件相比，DeepSeek此輪遭遇的網(wǎng)絡安全攻擊具有持續(xù)時間長、破壞力大、手段多、變化快等特征。

  監(jiān)測數(shù)據(jù)顯示，從1月3日開始，1月22日攻擊升級，1月27、28日進入第一個高峰，1月30日僵尸網(wǎng)絡下場……這波針對DeepSeek的網(wǎng)絡攻擊持續(xù)時間之長前所未有，甚至出現(xiàn)攻擊常態(tài)化現(xiàn)象。

  不僅如此，此輪網(wǎng)絡攻擊影響范圍廣，烈度不斷升級，破壞力大，潛在威脅不容忽視。監(jiān)測數(shù)據(jù)顯示，2024年12月1日至2025年2月3日期間，共出現(xiàn)了2650個仿冒DeepSeek的域名，這些仿冒域名主要用于釣魚欺詐、域名搶注等非法用途。截至目前，仿冒域名的數(shù)量仍在持續(xù)增加。

  利用市場的興奮情緒，一些不法分子推出了所謂DeepSeek“加持”的各種“空氣幣”（即沒有實際價值的虛擬貨幣），甚至出現(xiàn)了宣稱可以購買DeepSeek內部原始股的網(wǎng)站。

  值得注意的是，此輪針對DeepSeek的網(wǎng)絡攻擊手段層出不窮，給網(wǎng)絡防御帶來極大難度。僅1月3日至1月30日期間，就先后出現(xiàn)了SSDP、NTP反射放大攻擊，應用層HTTP代理攻擊，暴力破解攻擊，僵尸網(wǎng)絡攻擊等多種攻擊手段。“尤其是僵尸網(wǎng)絡的加入，標志著‘職業(yè)打手’已經(jīng)下場，這說明DeepSeek面對的攻擊方式一直在持續(xù)進化和復雜化，防御難度不斷增加，網(wǎng)絡安全形勢愈發(fā)嚴峻。”王輝表示。

  數(shù)據(jù)安全隱患凸顯

  在網(wǎng)絡攻擊“你方唱罷我登場”的同時，大模型的數(shù)據(jù)安全隱患也開始顯現(xiàn)。

  近日，奇安信安全研究團隊對常見的大模型工具及平臺進行安全檢測時發(fā)現(xiàn)，廣泛應用于大模型部署的架構Ollama、openLLM、Ray最新版存在未授權命令執(zhí)行漏洞，危害程度極高，一旦被利用可能會對企業(yè)和組織造成嚴重危害。

  亞信安全人工智能實驗室同樣發(fā)現(xiàn)，應用于大模型分布式部署的架構Ray存在未授權命令執(zhí)行漏洞，并第一時間上報給國家信息安全漏洞共享平臺（CNVD-2024-47463）及通用漏洞披露平臺（CVE-2024-57000）。CVE通用漏洞評分系統(tǒng)（CVSS）對該漏洞的評分高達9.8分，是近年來評分最高的漏洞之一。

  據(jù)介紹，Ray是一款強大且易用的分布式計算框架，在大模型高性能計算與分布式部署中扮演著關鍵角色，包括DeepSeek在內的許多大模型都在采用該框架，廣泛應用于數(shù)據(jù)預處理、分布式訓練、超參數(shù)調優(yōu)、模型服務和強化學習等領域。

  安全專家告訴記者，此次發(fā)現(xiàn)的漏洞屬于高危未授權代碼執(zhí)行漏洞，可繞過身份驗證和執(zhí)行未授權代碼，攻擊者可利用該漏洞，竊取Ray集群中的敏感信息，包括模型訓練數(shù)據(jù)、模型參數(shù)等。此外，攻擊者還可利用該漏洞，在Ray集群中執(zhí)行任意惡意指令，如設置后門、刪除業(yè)務數(shù)據(jù)等。“建議使用Ray框架的企業(yè)，及時采取必要的安全防護措施，避免因漏洞造成損失。”

  另一個在DeepSeek私有化部署或本地部署中常用到的工具Ollama也被發(fā)現(xiàn)存在安全隱患。

  近日，奇安信資產測繪鷹圖平臺監(jiān)測發(fā)現(xiàn)，8971個運行了0llama大模型框架的服務器中，有6449個活躍服務器。其中，88.9%的服務器“裸奔”在互聯(lián)網(wǎng)上，使得任何人不需要任何認證即可隨意調用，并在未經(jīng)授權的情況下訪問這些服務，從而導致數(shù)據(jù)泄露和服務中斷，甚至可以發(fā)送指令刪除所部署的DeepSeek、Qwen等大模型文件。

  安全專家建議，所有部署DeepSeek服務的企業(yè)和個人應立即采取有效的安全防護措施。此外，個人用戶需要警惕不知名廠商提供的DeepSeek大模型服務，一些不良廠商在使用被盜資源對外售賣、騙取錢財?shù)耐瑫r，還實時監(jiān)控用戶提交的所有數(shù)據(jù)，造成用戶隱私泄露。

  亟待構筑安全防線

  業(yè)內人士認為，守護大模型安全將是一場曠日持久的網(wǎng)絡攻防博弈，為AI產業(yè)構筑安全可靠的網(wǎng)絡防線勢在必行。

  奇安信安全專家龔玉山認為，包括DeepSeek在內的國產大模型，面臨的安全風險涵蓋了數(shù)據(jù)安全風險、訓練語料安全風險、使用安全風險、應用安全風險、軟件供應鏈安全風險、生成內容風險、大模型自身風險等，急需全面、體系化的安全防護方案。

  對此，受訪專家提出了三點建議：首先，做好風險暴露面管理，夯實網(wǎng)絡安全基礎防護。對于一家大模型公司而言，安全風險不僅僅來自于單個大模型服務，更來自于整家公司。畢竟，公司對外業(yè)務開放的同時勢必存在很多暴露面，包括數(shù)據(jù)庫授權訪問、API接口訪問、云服務、域名服務等，這些均有可能成為攻擊者的目標，一旦失守，就會導致大規(guī)模數(shù)據(jù)泄露。因此，大模型企業(yè)需要做好風險暴露面管理，實施嚴格的訪問控制措施，如建立身份驗證和授權機制，限制對API、數(shù)據(jù)庫的訪問等。同時，也要做好網(wǎng)絡、終端、云、服務器、數(shù)據(jù)庫等基礎網(wǎng)絡安全防護措施，最大程度減少外部威脅。

  其次，嚴格制定數(shù)據(jù)安全保障機制，避免敏感數(shù)據(jù)泄露。當下，大模型的數(shù)據(jù)安全面臨挑戰(zhàn)，尤其政務大模型因涉及敏感數(shù)據(jù)，其運行直接影響公共利益和國家安全，需要采取更嚴格的監(jiān)管要求，特別是訓練數(shù)據(jù)，需要有更系統(tǒng)化、更細化的規(guī)范來指導，否則極有可能引發(fā)重大危機。

  專家建議，圍繞數(shù)據(jù)來源合規(guī)、內容安全合規(guī)、敏感數(shù)據(jù)識別過濾、訓練數(shù)據(jù)標注安全、數(shù)據(jù)分類分級與安全保護、數(shù)據(jù)訪問控制等方面，制定體系化的防護方案。例如，針對公開的大模型，就不能使用內部、敏感數(shù)據(jù)來進行訓練，從源頭避免重要數(shù)據(jù)泄露風險。

  最后，通過內容風控、應用防護等多重保障，確保大模型運行安全。大模型的運行安全涉及內容生成和應用層面的多重保障，需要確保生成的內容符合相關規(guī)定，且系統(tǒng)運行穩(wěn)定可靠。以大模型應用安全風險中的“提示注入”風險為例，它是指攻擊者通過巧妙構造輸入提示詞，試圖突破大語言模型的安全防護機制，引導模型產生不符合預期甚至有害的輸出，比如一個聊天機器人原本是為客戶提供服務的，但在惡意提示詞的誘導下，可能無意間泄露出訓練數(shù)據(jù)中的敏感信息。

  因此，在內容層面，國產大模型需要做好生成內容風控，包括輸入內容過濾、輸出內容審核，確保大模型在輸入內容前經(jīng)過嚴格的審查，過濾惡意輸入內容，防止不良輸出；在應用層面，需要做好Web安全防護、API安全防護、應用訪問控制、個人信息保護等，通過嚴密的安全技術保障和運行監(jiān)測，確保大模型運行時的安全性、可靠性和穩(wěn)定性。

關鍵詞：