【新唐人北京时间2025年02月01日讯】中国AI公司DeepSeek推出的模型本周爆红,在冲击西方AI市场的同时,也引发科技界对其安全性的疑虑。美国资安公司发现,DeepSeek一度有超百万笔数据外泄,API金钥和用户对话纪录全曝光。多国被迫采取措施,应对资安风险。
DeepSeek爆资安漏洞 逾百万数据外泄
DeepSeek在AI领域引发强烈震动后,纽约云端资安公司Wiz Research的团队开始着手评估DeepSeek的外部安全态势,并识别其潜在的漏洞。该公司日前发布报告指出,其研究人员在扫描DeepSeek一个可公开造访的资料库时发现,有超过100万条未受保护的资料外泄,包括系统日志、 API认证金钥及用户的聊天纪录都一览无遗。Wiz Research的研究人员发现,这批数据似乎存放于ClickHouse资料库。这是一种常见的开源资料库,任何人只要发现上述资料库,都能自由存取里面的数据。研究人员推测,如果有恶意攻击者获得这些资料,可能会利用该漏洞,进一步渗透DeepSeek的其它系统,甚至发动远端程序码执行攻击。
Wiz Research发现上述漏洞后,随即向DeepSeek发出了警告。Wiz联合创办人兼技术长Ami Luttwak在接受媒体采访时说: “他们在不到一小时就将资料移除……但这些资料是如此容易被找到,相信我们并不是唯一发现的人。”
Wiz资安漏洞研究负责人Nir Ohfeld表示,虽然此类漏洞一直是企业和云端服务提供商努力解决的长期问题,但通常此类漏洞都发生在某个被忽视的服务中,需要花数小时扫描才会找到。但这次不同,DeepSeek的资料库几乎就摆在眼前。
“发现这个漏洞的技术难度是最低的”,Nir Ohfeld说,“漏洞就出现在了家门口”。
Wiz团队的Ami Luttwak也表示,发生错误是难免的,但DeepSeek的这个错误非常严重,因为研究人员几乎不需花费任何精力,就能获取如此高层级的访问权限。这表明DeepSeek的服务尚未成熟,不适合用于任何敏感数据。
更重要的是,此次事件暴露出一个严重的问题,DeepSeek环境内出现完全数据库控制和潜在权限提升,而对外界没有任何身分验证或防御机制。
“从安全角度来看,建立一个AI模型却留下后门,这相当令人震惊”,独立安全研究员Jeremiah Fowler表示。他虽然没有参与Wiz的研究,但专门从事发现暴露数据库的工作。他说,“这种类型的操作数据,以及任何有互联网连接的人都可以访问并操纵它的能力,对组织和用户来说是一个重大风险。”
忧安全风险 多国采取应对措施
过去一周,DeepSeek已吸引了数百万人使用该模型提供的AI服务。在这样巨大的使用规模下,资安漏洞可能造成的严重后果,让各国的AI专家深为忧虑。多个国家的立法者和监管机构开始评估DeepSeek公司的隐私政策、审查制度的影响,以及其潜在的国家安全风险,一些国家已经开始实施紧急应对措施。美国海军已警告全体人员,由于存在“潜在安全和道德”问题,不论是工作还是生活中,都不得以任何方式下载、安装或使用DeepSeek的AI模型。
德国个资保护部门也已计划对DeepSeek进行调查。该国个资保护专员说:“从个资保护法规角度来看,DeepSeek的各方面措施都很欠缺。”
义大利当局则在要求DeepSeek官方说明其资料运用方式后,要求在义大利的蘋果(Apple)和谷歌(Google)应用商店下架DeepSeek。义大利个资保护局(GARANTE)日前对媒体表示,该局已紧急下令限制DeepSeek取用义大利用户个资。
2月1日,荷兰隐私权监管机构发表声明,宣布将就DeepSeek的资料蒐集行为展开调查,同时呼吁荷兰用户使用Deepseek时务求谨慎。声明说,“荷兰资料保护局发布这项警告,是因为DeepSeek的隐私权政策,以及它使用个人资料的方式引发严重关切。”
台湾数发部则告诉媒体,基于国家资通安全考量,该部已特别警示公务机关与关键基础设施应限制使用DeepSeek产品,以避免使用者相关数据或资讯被有资安疑虑的产品传送。
(记者李明综合报导/责任编辑:云涛)
