关于报告的所有内容,公众号『行业报告智库』阅读原文或点击菜单获取报告下载查看。
2025年1月28日,DeepSeek官网服务状态页面发布信息称,由于遭受大规模恶意侵袭,为确保服务持续稳定,暂时限制了除中国大陆手机号以外的注册方式。此次攻击分为三个阶段,从疑似HTTP代理攻击到SSDP、NTP反射放大攻击,再到应用层攻击,攻击手段不断升级,且伴随着暴力破解攻击,具有明显的跨境特征和定向打击意图。DDoS攻击通过大量虚假请求占用服务器资源,导致正常用户无法访问服务,给DeepSeek的正常运营带来了巨大挑战。
在处理一些特殊查询时,DeepSeek可能会陷入过度推理甚至无休止的思考,黑客可利用这一漏洞以极低的成本发起类似DDoS的攻击。例如,当用户输入“树中两条路径之间的距离”等复杂问题时,模型可能会不断重复思考,占用大量计算资源,直至达到最大token约束。这种攻击不仅会拖慢模型的响应速度,还可能导致服务器资源耗尽,影响正常业务的开展。
攻击者通过主动或被动的方式探测DeepSeek外部暴露的服务和子域名,寻找潜在的漏洞。例如利用公共字典对目标域名进行模糊测试,猜测更多有效的子域名;查询互联网上的公共DNS数据集,收集目标的已知子域名。一旦发现漏洞,攻击者可利用验证,获取敏感数据。如2025年1月,DeepSeek暴露了其内部的ClickHouse数据库,没有任何身份验证,泄露了超过一百万行的日志,包含聊天历史、API密钥等大量敏感信息,虽然该漏洞已修复,但其潜在危害令人触目惊心。
攻击者可通过注入虚假或误导性数据,污染DeepSeek的训练数据集,干扰模型训练时的参数调整,破坏性能、降低准确性或诱导有害输出。研究显示,仅需60美元即可毒害0.01%的LAION-400M或COYO-700M数据集,100个中毒样本即可导致模型恶意输出。大模型常周期性用运行期新数据重训,攻击者可在聊天机器人问答中输入大量错误事实,影响其后续输出,这种运行期投毒的方式更加隐蔽且难以防范。
攻击者利用精心设计的提示词或漏洞,让DeepSeek突破原本设定的安全限制,输出不符合道德、法律规范或模型开发者预期的结果。宾夕法尼亚大学的研究者使用来自HarmBench数据集的50个有害提示词对DeepSeek R1进行测试,结果显示其未能拦截任何一个有害请求,攻击成功率达到100%。这意味着DeepSeek可能会生成指导有害活动的指令、制造仇恨言论、宣扬错误观念、提供错误信息等,对社会和个人安全构成严重威胁。
随着DeepSeek的火爆,许多用户选择使用Ollama、OpenWebUI等工具进行本地化部署。然而,这些工具存在诸多安全隐患。例如,Ollama默认开启11434端口且无任何鉴权机制,攻击者可在未授权情况下远程访问模型,获取敏感信息、滥用算力资源,甚至实施数据投毒、删除关键组件等恶意操作。据统计,在8971个Ollama部署的大模型服务器中,有6449个活跃服务器,仅国内就有5669个运行DeepSeek R1的服务器,其中88.9%都裸奔在互联网上,通过简单的攻击语句就能控制大模型,并获取后台数据。
攻击者通过搜索引擎投毒、构建仿冒网站等方式,诱导用户下载伪造的DeepSeek本地部署工具包,传播恶意程序。例如捆绑了HackBrianRAT木马的“ds大模型安全助手”安装包,一旦被植入,攻击者可轻易窃取机密数据、破坏模型数据、劫持企业算力。攻击者还可利用Ollama的远程命令执行漏洞(CVE-2024-37032),实现任意文件读写和远程代码执行,进一步控制用户的服务器。
国家计算机病毒应急处理中心捕获了针对我国用户的仿冒DeepSeek官方APP的安卓平台手机木马病毒。这些仿冒APP与DeepSeek官方APP“长相一致”,诱导用户安装后,会提示用户“需要应用程序更新”,并诱导用户授予其后台运行和无障碍服务的权限,进而拦截用户短信、窃取通讯录、查看及执行操作、窃取手机应用程序列表等,侵犯公民个人隐私信息。还有大量仿冒DeepSeek域名、仿冒官方网站的现象,通过发布行骗消息,收集用户登录信息及其他敏感信息,如账号、密码、身份证号、银行卡信息等。
DeepSeek强大的推理能力被不法分子利用,成为自动渗透攻击的“利器”。与传统手工渗透攻击相比,DeepSeek辅助的自动渗透攻击效率更高、速度更快、覆盖范围更广、误报率更低,且攻击隐蔽性强,可能利用模型推理漏洞绕过防御。攻击者可利用DeepSeek快速收集目标信息、分析情报、识别漏洞、生成漏洞利用代码框架、进行风险评估、验证测试,甚至自动生成规范、详细的渗透测试报告,极大地降低了攻击成本,提高了攻击成功率。
报告认为,防范安全问题需要在数据收集环节,确保数据来源合法合规,避免使用来源不明或存在安全隐患的数据。对收集到的数据进行严格清洗和预处理,去除错误、重复及可能包含敏感信息的数据。在数据存储时,采用加密技术对数据进行加密存储,确保数据的保密性。
采用安全的模型架构设计,避免使用已知存在安全风险的架构或算法。在模型训练过程中,进行充分的验证和测试,包括对模型的准确性、稳定性和安全性进行评估。使用对抗训练技术,通过生成对抗样本,让模型在训练过程中学习识别和抵御攻击。
对模型开发过程中的代码进行严格的审查,遵循安全编码规范,避免出现常见的安全漏洞,如缓冲区溢出、SQL注入等。采用自动化代码审查工具,结合人工审查,确保代码的质量和安全性。
选择安全可靠的服务器环境,对服务器的操作系统、网络配置等进行安全加固,及时更新服务器的补丁和安全更新。关闭不必要的服务和端口,采用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备,对服务器进行实时监控和防护。
在模型部署和数据传输过程中,采用加密技术对数据进行加密传输,确保数据在传输过程中的安全性。使用安全的通信协议,如HTTPS,防止数据被窃取或篡改。对模型的访问进行身份验证和授权,只有经过授权的用户才能访问和使用模型。
建立实时监控系统,对模型的运行状态进行实时监控,包括模型的性能、安全性和稳定性等指标。通过监控数据,及时发现模型运行过程中出现的异常情况,如模型输出异常、数据泄露等。
定期对模型进行漏洞扫描,使用专业的漏洞扫描工具,检测模型是否存在已知的安全漏洞。对于发现的漏洞,及时进行修复,确保模型的安全性。建立漏洞管理机制,对漏洞的发现、修复和验证等过程进行跟踪和管理。
制定完善的应急响应计划,当模型遭受攻击或出现安全事件时,能够迅速采取有效的应急措施,降低损失。建立备份和恢复机制,定期对模型和数据进行备份,确保在出现安全事件时,能够快速恢复模型和数据的正常运行。
用户应提高安全意识,仔细辨别信息,避免点击来源不明的链接,尤其是那些看起来可疑或诱人的链接。只从官方应用商店或软件的官方网站下载应用程序,避免从不可信的第三方网站或不明渠道下载应用。
