圖為湖北省襄陽市老年大學(xué)授課教師為學(xué)員講解如何使用DeepSeek人工智能應(yīng)用。 新華社發(fā)（楊東 攝）

  隨著DeepSeek（深度求索）的全球爆火，網(wǎng)絡(luò)攻擊也接踵而至，引發(fā)業(yè)界對(duì)大模型安全的關(guān)注。專家認(rèn)為，此次針對(duì)DeepSeek的網(wǎng)絡(luò)攻擊持續(xù)時(shí)間長、破壞力大、手段多、變化快，折射出當(dāng)前復(fù)雜而嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。

  DeepSeek頻遭攻擊

  奇安信Xlab實(shí)驗(yàn)室近期連續(xù)發(fā)布的安全報(bào)告顯示，今年以來，DeepSeek先后遭遇反射攻擊、HTTP代理攻擊、DDoS攻擊（分布式拒絕服務(wù)攻擊）、僵尸網(wǎng)絡(luò)等各種安全威脅，甚至一度對(duì)正常服務(wù)造成嚴(yán)重影響。

  奇安信Xlab實(shí)驗(yàn)室安全專家王輝說，與以往的網(wǎng)絡(luò)攻擊事件相比，DeepSeek此輪遭遇的網(wǎng)絡(luò)安全攻擊具有持續(xù)時(shí)間長、破壞力大、手段多、變化快等特征。

  監(jiān)測數(shù)據(jù)顯示，從1月3日開始，1月22日攻擊升級(jí)，1月27、28日進(jìn)入第一個(gè)高峰，1月30日僵尸網(wǎng)絡(luò)下場……這波針對(duì)DeepSeek的網(wǎng)絡(luò)攻擊持續(xù)時(shí)間之長前所未有，甚至出現(xiàn)攻擊常態(tài)化現(xiàn)象。

  不僅如此，此輪網(wǎng)絡(luò)攻擊影響范圍廣，烈度不斷升級(jí)，破壞力大，潛在威脅不容忽視。監(jiān)測數(shù)據(jù)顯示，2024年12月1日至2025年2月3日期間，共出現(xiàn)了2650個(gè)仿冒DeepSeek的域名，這些仿冒域名主要用于釣魚欺詐、域名搶注等非法用途。截至目前，仿冒域名的數(shù)量仍在持續(xù)增加。

  利用市場的興奮情緒，一些不法分子推出了所謂DeepSeek“加持”的各種“空氣幣”（即沒有實(shí)際價(jià)值的虛擬貨幣），甚至出現(xiàn)了宣稱可以購買DeepSeek內(nèi)部原始股的網(wǎng)站。

  值得注意的是，此輪針對(duì)DeepSeek的網(wǎng)絡(luò)攻擊手段層出不窮，給網(wǎng)絡(luò)防御帶來極大難度。僅1月3日至1月30日期間，就先后出現(xiàn)了SSDP、NTP反射放大攻擊，應(yīng)用層HTTP代理攻擊，暴力破解攻擊，僵尸網(wǎng)絡(luò)攻擊等多種攻擊手段。“尤其是僵尸網(wǎng)絡(luò)的加入，標(biāo)志著‘職業(yè)打手’已經(jīng)下場，這說明DeepSeek面對(duì)的攻擊方式一直在持續(xù)進(jìn)化和復(fù)雜化，防御難度不斷增加，網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻。”王輝表示。

  數(shù)據(jù)安全隱患凸顯

  在網(wǎng)絡(luò)攻擊“你方唱罷我登場”的同時(shí)，大模型的數(shù)據(jù)安全隱患也開始顯現(xiàn)。

  近日，奇安信安全研究團(tuán)隊(duì)對(duì)常見的大模型工具及平臺(tái)進(jìn)行安全檢測時(shí)發(fā)現(xiàn)，廣泛應(yīng)用于大模型部署的架構(gòu)Ollama、openLLM、Ray最新版存在未授權(quán)命令執(zhí)行漏洞，危害程度極高，一旦被利用可能會(huì)對(duì)企業(yè)和組織造成嚴(yán)重危害。

  亞信安全人工智能實(shí)驗(yàn)室同樣發(fā)現(xiàn)，應(yīng)用于大模型分布式部署的架構(gòu)Ray存在未授權(quán)命令執(zhí)行漏洞，并第一時(shí)間上報(bào)給國家信息安全漏洞共享平臺(tái)（CNVD-2024-47463）及通用漏洞披露平臺(tái)（CVE-2024-57000）。CVE通用漏洞評(píng)分系統(tǒng)（CVSS）對(duì)該漏洞的評(píng)分高達(dá)9.8分，是近年來評(píng)分最高的漏洞之一。

  據(jù)介紹，Ray是一款強(qiáng)大且易用的分布式計(jì)算框架，在大模型高性能計(jì)算與分布式部署中扮演著關(guān)鍵角色，包括DeepSeek在內(nèi)的許多大模型都在采用該框架，廣泛應(yīng)用于數(shù)據(jù)預(yù)處理、分布式訓(xùn)練、超參數(shù)調(diào)優(yōu)、模型服務(wù)和強(qiáng)化學(xué)習(xí)等領(lǐng)域。

  安全專家告訴記者，此次發(fā)現(xiàn)的漏洞屬于高危未授權(quán)代碼執(zhí)行漏洞，可繞過身份驗(yàn)證和執(zhí)行未授權(quán)代碼，攻擊者可利用該漏洞，竊取Ray集群中的敏感信息，包括模型訓(xùn)練數(shù)據(jù)、模型參數(shù)等。此外，攻擊者還可利用該漏洞，在Ray集群中執(zhí)行任意惡意指令，如設(shè)置后門、刪除業(yè)務(wù)數(shù)據(jù)等。“建議使用Ray框架的企業(yè)，及時(shí)采取必要的安全防護(hù)措施，避免因漏洞造成損失。”

  另一個(gè)在DeepSeek私有化部署或本地部署中常用到的工具Ollama也被發(fā)現(xiàn)存在安全隱患。

  近日，奇安信資產(chǎn)測繪鷹圖平臺(tái)監(jiān)測發(fā)現(xiàn)，8971個(gè)運(yùn)行了0llama大模型框架的服務(wù)器中，有6449個(gè)活躍服務(wù)器。其中，88.9%的服務(wù)器“裸奔”在互聯(lián)網(wǎng)上，使得任何人不需要任何認(rèn)證即可隨意調(diào)用，并在未經(jīng)授權(quán)的情況下訪問這些服務(wù)，從而導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷，甚至可以發(fā)送指令刪除所部署的DeepSeek、Qwen等大模型文件。

  安全專家建議，所有部署DeepSeek服務(wù)的企業(yè)和個(gè)人應(yīng)立即采取有效的安全防護(hù)措施。此外，個(gè)人用戶需要警惕不知名廠商提供的DeepSeek大模型服務(wù)，一些不良廠商在使用被盜資源對(duì)外售賣、騙取錢財(cái)?shù)耐瑫r(shí)，還實(shí)時(shí)監(jiān)控用戶提交的所有數(shù)據(jù)，造成用戶隱私泄露。

  亟待構(gòu)筑安全防線

  業(yè)內(nèi)人士認(rèn)為，守護(hù)大模型安全將是一場曠日持久的網(wǎng)絡(luò)攻防博弈，為AI產(chǎn)業(yè)構(gòu)筑安全可靠的網(wǎng)絡(luò)防線勢(shì)在必行。

  奇安信安全專家龔玉山認(rèn)為，包括DeepSeek在內(nèi)的國產(chǎn)大模型，面臨的安全風(fēng)險(xiǎn)涵蓋了數(shù)據(jù)安全風(fēng)險(xiǎn)、訓(xùn)練語料安全風(fēng)險(xiǎn)、使用安全風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)、生成內(nèi)容風(fēng)險(xiǎn)、大模型自身風(fēng)險(xiǎn)等，急需全面、體系化的安全防護(hù)方案。

  對(duì)此，受訪專家提出了三點(diǎn)建議：首先，做好風(fēng)險(xiǎn)暴露面管理，夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)。對(duì)于一家大模型公司而言，安全風(fēng)險(xiǎn)不僅僅來自于單個(gè)大模型服務(wù)，更來自于整家公司。畢竟，公司對(duì)外業(yè)務(wù)開放的同時(shí)勢(shì)必存在很多暴露面，包括數(shù)據(jù)庫授權(quán)訪問、API接口訪問、云服務(wù)、域名服務(wù)等，這些均有可能成為攻擊者的目標(biāo)，一旦失守，就會(huì)導(dǎo)致大規(guī)模數(shù)據(jù)泄露。因此，大模型企業(yè)需要做好風(fēng)險(xiǎn)暴露面管理，實(shí)施嚴(yán)格的訪問控制措施，如建立身份驗(yàn)證和授權(quán)機(jī)制，限制對(duì)API、數(shù)據(jù)庫的訪問等。同時(shí)，也要做好網(wǎng)絡(luò)、終端、云、服務(wù)器、數(shù)據(jù)庫等基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)措施，最大程度減少外部威脅。

  其次，嚴(yán)格制定數(shù)據(jù)安全保障機(jī)制，避免敏感數(shù)據(jù)泄露。當(dāng)下，大模型的數(shù)據(jù)安全面臨挑戰(zhàn)，尤其政務(wù)大模型因涉及敏感數(shù)據(jù)，其運(yùn)行直接影響公共利益和國家安全，需要采取更嚴(yán)格的監(jiān)管要求，特別是訓(xùn)練數(shù)據(jù)，需要有更系統(tǒng)化、更細(xì)化的規(guī)范來指導(dǎo)，否則極有可能引發(fā)重大危機(jī)。

  專家建議，圍繞數(shù)據(jù)來源合規(guī)、內(nèi)容安全合規(guī)、敏感數(shù)據(jù)識(shí)別過濾、訓(xùn)練數(shù)據(jù)標(biāo)注安全、數(shù)據(jù)分類分級(jí)與安全保護(hù)、數(shù)據(jù)訪問控制等方面，制定體系化的防護(hù)方案。例如，針對(duì)公開的大模型，就不能使用內(nèi)部、敏感數(shù)據(jù)來進(jìn)行訓(xùn)練，從源頭避免重要數(shù)據(jù)泄露風(fēng)險(xiǎn)。

  最后，通過內(nèi)容風(fēng)控、應(yīng)用防護(hù)等多重保障，確保大模型運(yùn)行安全。大模型的運(yùn)行安全涉及內(nèi)容生成和應(yīng)用層面的多重保障，需要確保生成的內(nèi)容符合相關(guān)規(guī)定，且系統(tǒng)運(yùn)行穩(wěn)定可靠。以大模型應(yīng)用安全風(fēng)險(xiǎn)中的“提示注入”風(fēng)險(xiǎn)為例，它是指攻擊者通過巧妙構(gòu)造輸入提示詞，試圖突破大語言模型的安全防護(hù)機(jī)制，引導(dǎo)模型產(chǎn)生不符合預(yù)期甚至有害的輸出，比如一個(gè)聊天機(jī)器人原本是為客戶提供服務(wù)的，但在惡意提示詞的誘導(dǎo)下，可能無意間泄露出訓(xùn)練數(shù)據(jù)中的敏感信息。

  因此，在內(nèi)容層面，國產(chǎn)大模型需要做好生成內(nèi)容風(fēng)控，包括輸入內(nèi)容過濾、輸出內(nèi)容審核，確保大模型在輸入內(nèi)容前經(jīng)過嚴(yán)格的審查，過濾惡意輸入內(nèi)容，防止不良輸出；在應(yīng)用層面，需要做好Web安全防護(hù)、API安全防護(hù)、應(yīng)用訪問控制、個(gè)人信息保護(hù)等，通過嚴(yán)密的安全技術(shù)保障和運(yùn)行監(jiān)測，確保大模型運(yùn)行時(shí)的安全性、可靠性和穩(wěn)定性。

關(guān)鍵詞：