【新唐人北京時間2025年02月01日訊】中國AI公司DeepSeek推出的模型本週爆紅,在衝擊西方AI市場的同時,也引發科技界對其安全性的疑慮。美國資安公司發現,DeepSeek一度有超百萬筆數據外洩,API金鑰和用戶對話紀錄全曝光。多國被迫採取措施,應對資安風險。
DeepSeek爆資安漏洞 逾百萬數據外洩
DeepSeek在AI領域引發強烈震動後,紐約雲端資安公司Wiz Research的團隊開始著手評估DeepSeek的外部安全態勢,並識別其潛在的漏洞。該公司日前發布報告指出,其研究人員在掃描DeepSeek一個可公開造訪的資料庫時發現,有超過100萬條未受保護的資料外洩,包括系統日誌、 API認證金鑰及用戶的聊天紀錄都一覽無遺。Wiz Research的研究人員發現,這批數據似乎存放於ClickHouse資料庫。這是一種常見的開源資料庫,任何人只要發現上述資料庫,都能自由存取裡面的數據。研究人員推測,如果有惡意攻擊者獲得這些資料,可能會利用該漏洞,進一步滲透DeepSeek的其它系統,甚至發動遠端程序碼執行攻擊。
Wiz Research發現上述漏洞後,隨即向DeepSeek發出了警告。Wiz聯合創辦人兼技術長Ami Luttwak在接受媒體採訪時說: 「他們在不到一小時就將資料移除……但這些資料是如此容易被找到,相信我們並不是唯一發現的人。」
Wiz資安漏洞研究負責人Nir Ohfeld表示,雖然此類漏洞一直是企業和雲端服務提供商努力解決的長期問題,但通常此類漏洞都發生在某個被忽視的服務中,需要花數小時掃描才會找到。但這次不同,DeepSeek的資料庫幾乎就擺在眼前。
「發現這個漏洞的技術難度是最低的」,Nir Ohfeld說,「漏洞就出現在了家門口」。
Wiz團隊的Ami Luttwak也表示,發生錯誤是難免的,但DeepSeek的這個錯誤非常嚴重,因為研究人員幾乎不需花費任何精力,就能獲取如此高層級的訪問權限。這表明DeepSeek的服務尚未成熟,不適合用於任何敏感數據。
更重要的是,此次事件暴露出一個嚴重的問題,DeepSeek環境內出現完全數據庫控制和潛在權限提升,而對外界沒有任何身分驗證或防禦機制。
「從安全角度來看,建立一個AI模型卻留下後門,這相當令人震驚」,獨立安全研究員Jeremiah Fowler表示。他雖然沒有參與Wiz的研究,但專門從事發現暴露數據庫的工作。他説,「這種類型的操作數據,以及任何有互聯網連接的人都可以訪問並操縱它的能力,對組織和用戶來說是一個重大風險。」
憂安全風險 多國採取應對措施
過去一週,DeepSeek已吸引了數百萬人使用該模型提供的AI服務。在這樣巨大的使用規模下,資安漏洞可能造成的嚴重後果,讓各國的AI專家深為憂慮。多個國家的立法者和監管機構開始評估DeepSeek公司的隱私政策、審查制度的影響,以及其潛在的國家安全風險,一些國家已經開始實施緊急應對措施。美國海軍已警告全體人員,由於存在「潛在安全和道德」問題,不論是工作還是生活中,都不得以任何方式下載、安裝或使用DeepSeek的AI模型。
德國個資保護部門也已計劃對DeepSeek進行調查。該國個資保護專員說:「從個資保護法規角度來看,DeepSeek的各方面措施都很欠缺。」
義大利當局則在要求DeepSeek官方說明其資料運用方式後,要求在義大利的蘋果(Apple)和谷歌(Google)應用商店下架DeepSeek。義大利個資保護局(GARANTE)日前對媒體表示,該局已緊急下令限制DeepSeek取用義大利用戶個資。
2月1日,荷蘭隱私權監管機構發表聲明,宣布將就DeepSeek的資料蒐集行為展開調查,同時呼籲荷蘭用戶使用Deepseek時務求謹慎。聲明說,「荷蘭資料保護局發布這項警告,是因為DeepSeek的隱私權政策,以及它使用個人資料的方式引發嚴重關切。」
台灣數發部則告訴媒體,基於國家資通安全考量,該部已特別警示公務機關與關鍵基礎設施應限制使用DeepSeek產品,以避免使用者相關數據或資訊被有資安疑慮的產品傳送。
(記者李明綜合報導/責任編輯:雲濤)
