deepseek應用場景中需要關注的十個安全問題和防范措施-北京大學-202503

①首先，介紹了DeepSeek安全問題具有威脅難以預測、攻防非對稱的特點，以及存在數(shù)據(jù)隱私、知識產(chǎn)權、責任歸屬、倫理道德等法律問題；并從內(nèi)生安全和外延安全描述了安全方案框架，幫助大家對DeepSeek的安全建立整體認知。②其次，幫助大家理解DeepSeek模型自身的5個安全問題，包括DDoS攻擊、無限推理攻擊、漏洞探測與利用、投毒問題和越獄問題，還演示了漏洞探測與利用的過程，讓大家形象的理解DeepSeek被黑客利用的過程。③再次，幫助企業(yè)用戶和技術愛好者說明了DeepSeek私有化部署的2個安全問題，包括DeepSeek本地化部署工具的風險、針對DeepSeek本地化部署實施網(wǎng)絡攻擊的風險。并演示了從利用部署工具的漏洞到最終獲取模型服務器管理權的全過程，幫④最后，為普通用戶介紹DeepSeek外延的3個安全問題，包括仿冒DeepSeek官方APP植入木馬、仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息、DeepSeek輔助實施攻擊。還演示了仿冒網(wǎng)站收集用戶信息、DeepSeek輔助滲透攻擊的方法。讓普通用戶在使用DeepSeek的時候了解常見的防范措施。3.在技術學習的道路上，優(yōu)質學習資源至關重要。推薦大家參考《人工智能通識教程（微課版）》這本系統(tǒng)全面的入門教材，結合B站“思睿觀通”欄目的配套視頻進行學習。此外，歡迎加入社區(qū)，以及“AI肖睿團隊”的視頻號和微信號，與志學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）CONTENTSDeepSeek安全問題的特點及目前的安全方案框架DeepSeek私有化部署的2個安全問題DeepSeek模型的5個安全問題DeepSeek外延的3個安全問題8,8PEKINGUNIVERSITYPEKINGUNIVERSITYDeepSeek安全問題的特點及目前的安全方案框架學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）DeepSeek快速出圈，硬控全中國2025年2月17日，中共中央在北京召開民營企業(yè)座談會，DeepSeek創(chuàng)始人梁文鋒出席了會議。這不僅是對DeepSeek的認可，也意味著國家對民營企業(yè)AI創(chuàng)新、AI應用的鼓勵和高度重視。AI發(fā)展的獨到之處就在于并非由權威主導，而是由廣大民營創(chuàng)業(yè)者主導。另外，世界各地的開發(fā)者和研究機構通過開源平臺共享代碼和研究成果，這種全球協(xié)作加速了技術的傳播和創(chuàng)新。其發(fā)展速度具有以下顯著特點：創(chuàng)新與迭代速度快lDeepSeek的版本從V2、V2.5、V3到R1等更新僅用了半年多用戶增長快l上線18天，日活用戶數(shù)達到1500萬，而ChatGPT達到同樣的數(shù)字，花了244天。l上線20天內(nèi)，日活躍用戶突破2000萬，成為全球增速最快的AI應用。l上線7天，斬獲1.1億全球用戶，登頂多個國家應用商店安全問題特點突出l威脅難以預測l攻防非對稱法律問題：如數(shù)據(jù)隱私、知識產(chǎn)權、責任歸屬、倫理道德等現(xiàn)代人工智能技術主要是指大模型技術，是基于深度學習的人工神經(jīng)網(wǎng)絡模型的數(shù)據(jù)智能，猶如“黑DeepSeek遭受連環(huán)攻擊DDoS攻擊DDoS攻擊模型投毒數(shù)據(jù)庫越權XSS漏洞攻擊發(fā)起網(wǎng)絡釣魚攻擊依賴，未來會進一步加大了注入對依賴，未來會進一步加大了注入對抗樣本的風險，可能長期產(chǎn)生不良后果，如操控模型行為和輸出等API密鑰、后端詳細信息等高度敏感信息后果，如操控模型行為和輸出等AI的發(fā)展帶來了諸多法律挑戰(zhàn)，涉及數(shù)據(jù)隱私、知識產(chǎn)權、犯罪治理等多個領域。隨著AI技術的廣泛應用，相關法律問題將更加復雜，需要立法、司法和企業(yè)共同努力，完善法律框架，規(guī)范AI技術的2025年3月全國兩會，圍繞人工智能話題，多位人大代表和政協(xié)委員建奇安信董事長齊向東：針對人工智能發(fā)展的安全問題，要從技術保障、制度保障、成果應用三方面入手，系統(tǒng)提升安全能力，確保人工智能安全發(fā)展。360創(chuàng)始人周鴻祎：傳統(tǒng)網(wǎng)絡安全的解題方法解決不了人工智能的安全問題。智能體的安全、知識數(shù)據(jù)的安全、客戶端的安全、基座模型的安全，構成AI安全的新領域。TCL董事長李東生：對AI生成的內(nèi)容進行強制標識，減少惡意濫用，并有助于厘清責任、對違法犯罪行為追責。小米董事長雷軍：明確“AI換臉擬聲”應用邊界紅線，完善侵權證據(jù)規(guī)則，加大對利用人工智能技術實施犯罪行為的刑事處罰力度學習交流可以加AII肖睿團隊微信號（ABZ2180）02010201內(nèi)生安全問題：更聚焦于Deepseek外延安全問題：內(nèi)生安全問題：更聚焦于Deepseek學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）模型算法算法內(nèi)部邏輯復雜，像“黑盒子”，輸出結果難以理解，出現(xiàn)問題時難以找到原因偏見、歧視算法設計或訓練數(shù)據(jù)有偏差，可能導致對某些群體不公平，比如性別、種族歧視模型容易受干擾或攻擊，比如環(huán)境變化或惡意輸入可能導致決策錯誤被竊取、篡改算法的核心信息可能被黑客攻擊、竊取或篡改，甚至被植入后門，導致安全問題攻擊者通過設計特殊數(shù)據(jù)誤導模型，使其產(chǎn)生錯誤輸出或癱瘓數(shù)據(jù)安全違規(guī)收集使用數(shù)據(jù)未經(jīng)用戶同意收集或不當使用數(shù)據(jù)，比如過度收集個人信息，侵犯隱私訓練數(shù)據(jù)含不當內(nèi)容訓練數(shù)據(jù)標注不規(guī)范數(shù)據(jù)標注錯誤或不準確，可能導致模型學習偏差，影響結果可靠性數(shù)據(jù)泄露數(shù)據(jù)在處理過程中可能被泄露，導致隱私或商業(yè)機密受損系統(tǒng)安全缺陷、后門被攻擊利用系統(tǒng)可能存在漏洞或后門，被攻擊者利用，導致安全風險算力資源可能被惡意消耗或攻擊，影響系統(tǒng)正常運行供應鏈安全依賴的芯片、軟件等可能被斷供或存在安全問題，影響人工智能系統(tǒng)的穩(wěn)定性信息內(nèi)容安全生成虛假信息、歧視偏見內(nèi)容，可能誤導公眾，威脅國家安全、公民隱私等混淆事實、誤導用戶未標識的人工智能輸出可能讓用戶分不清真假，甚至繞過身份認證，導致安全漏洞不當使用引發(fā)信息泄露工作人員不當使用人工智能，可能導致工作秘密、商業(yè)機密等敏感信息泄露濫用于網(wǎng)絡攻擊人工智能被用于自動化的網(wǎng)絡攻擊，降低攻擊門檻，增加防護難度誘發(fā)經(jīng)濟社會安全在金融、能源、交通等行業(yè)應用時，模型錯誤或外部攻擊可能導致系統(tǒng)中斷、失控用于違法犯罪活動人工智能可能被用于涉恐、涉暴、涉毒等違法犯罪活動，降低犯罪門檻兩用物項和技術濫用人工智能技術可能被用于制造危險物品或發(fā)動攻擊，對國家安全、經(jīng)濟安全構成威脅加劇“信息繭房”效應定制化信息服務可能讓用戶只看到想看的信息，進一步加劇信息偏見和分化用于開展認知戰(zhàn)風險制作虛假信息、干擾輿論，甚至干涉他國內(nèi)政，危害他國主權和安全加劇社會歧視偏見對不同人群進行分類和區(qū)別對待，可能加劇社會不平等和歧視問題挑戰(zhàn)傳統(tǒng)社會秩序改變生產(chǎn)方式和社會結構，可能對傳統(tǒng)就業(yè)、社會觀念等未來脫離控制8,8PEKINGUNIVERSITYPEKINGUNIVERSITYDeepSeek模型5個安全問題學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）問題1：DeepSeek遭受DDoS攻擊問題2：DeepSeek遭受無限推理攻擊問題3：DeepSeek遭受漏洞探測與利用問題4：DeepSeek模型的投毒問題問題5：DeepSeek模型的越獄問題2025年1月28日，DeepSeek官網(wǎng)服務狀態(tài)頁面發(fā)布信息稱，由于近期DeepSeek線上服務遭受了大規(guī)模惡意侵襲，為確保服務能夠持續(xù)穩(wěn)定地提供，目前暫時僅保留了+86手機號這一注冊方式，限制了其他注冊途徑，而已成功注冊的用戶仍可正常登錄日、13日，出現(xiàn)疑似HTTP代理攻擊。在該時間段大量連接DeepSeek的代理請求，很可能是HTTP代理攻擊第二階段，1月20日、22-26日，攻擊方法轉為SSDP、NTP反射放大，少量HTTP代理攻擊第三階段，1月27、28號，攻擊數(shù)量激增，手段轉為應用層攻擊1月28日攻擊峰值出現(xiàn)在北京時間03:00-04:00(UTC+8），對應北美東部時區(qū)14:00-15:00（UTC-5）。該時間窗口選擇顯示攻擊存在跨境特征，且不排除針對海外服務可用性的定向打擊意圖本次DDoS攻擊還伴隨著大量的暴力破解攻擊。暴力破解攻擊IP全部來自美國這些IP有一半是VPN出口，推測也有可能是因為DeepSeek限制海外手機用戶導致的情況1月30日，兩個變種僵尸網(wǎng)絡加入攻擊，指令激增100多倍。攻擊模式從最初的易被清洗的放大攻擊，升級至1月28日的HTTP代理攻擊，現(xiàn)階段已演變?yōu)橐越┦W(wǎng)絡為主。攻擊者使用多種攻擊技術和手段，持續(xù)攻擊DeepSeek2個Mirai變種僵尸網(wǎng)絡參與攻擊，分別為HailBot和RapperBot。此次攻擊共涉及16個C2服務器的118個C2端口，分為2個波次，分別為凌晨1點和凌晨2點學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）僵尸網(wǎng)絡是由攻擊者通過惡意軟件感染并控制的設備網(wǎng)絡，這些設備被稱為“僵尸”或“機器人”。攻擊者通過命令與控制服務器向這些設備發(fā)送指令，執(zhí)行各種任務HailBot平均每天攻擊指令上千條、攻擊上百個目標。攻擊目標分布在中國、美國、英國、中國香港、德國等地區(qū)，符合典型的“職業(yè)打手”特征學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）RapperBot平均每天攻擊上百個目標，攻擊目標分布在巴西、白俄羅斯、俄羅斯、中國、瑞典等地區(qū)Hailbot和RapperBot兩個僵尸網(wǎng)絡常年活躍，攻擊目標遍布全球，專門為他人提供DDoS攻擊服務。向目標服務器持續(xù)增加攻擊規(guī)模和強度，耗盡目標服務器的網(wǎng)絡帶寬和系統(tǒng)資源，使其無法響應正常業(yè)務，最終癱瘓或中斷在處理一些特殊查詢時，它們會陷入過度推理甚至無休止的思考。利用這種無休止的思考查詢，黑客可以以更便宜的DDoS方式破解模型服務器，因為單個查詢就會占用資源直到達到最大token約束。這種災難性的漏洞——無休止的思考查詢，也會破壞依賴于推理LLM的開源開發(fā)生態(tài)系統(tǒng)。通過對多個接入R1的第三方應用（測試中均已關閉聯(lián)網(wǎng)）進行測試，雖然也未能實現(xiàn)無限思考現(xiàn)象，但在部分應用中的確看到了較長的思考過程。真正的攻擊，也確實不一定非要讓模型陷入死循環(huán)，因此如果能夠拖慢模型的思考過程，也是一種有效的大模型攻擊手段。過度推理的攻擊查詢可以持續(xù)占用相對大量的計算資源，而黑客只需要付出很小的網(wǎng)絡資源。我們運行一個玩具實驗來比較過度推理查詢和正常查詢的計算資源占用情況。舉例：在單個4090GPU上部署DeepSeek-R1-Distill-Qwen-7B，運行過度推理查詢和正常查詢，記錄其GPU占用情況如右圖如圖所示，僅僅幾個過度推理的請求就會占用整個GPU資源，黑客將此屬性作為DDoS攻擊服務器的策略將是一場噩夢探測外部暴露的服務VNV888識別異常和潛在的內(nèi)部開發(fā)服務并利用驗證主動及被動的探測子域名學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）已經(jīng)有了目標的子域名列表。接下來，需要將范圍縮小到所有外部可訪問的子域，并且這些子域主動暴露某種服務，通常從HTTP探測開始，列出所有公開暴露并在80和443端口上提供Web服務的DNS名稱非所有的公開暴露都通過HTTP服務，每家公司都有其獨特的開發(fā)方式，因此，掃描所有開放端口（1-65,535）并檢查它們是否暴露了其他服務是非常重要的到了一個屬于DeepSeek的公開HTTP服務器列表——其中大部分是完全合法的，比如他們的聊天機器人、API文檔或狀態(tài)監(jiān)控Web服務器某些端口通常不用于公開服務HTTPWeb服務器，而是更常見于開發(fā)過程中，作為內(nèi)部服務或測試環(huán)境的一部分。這種情況下，公開這些端口可能會帶來潛在的安全風險，因為它們往往沒有經(jīng)過充分的安全加固或審查檢查發(fā)現(xiàn)的服務器上是否存在任何立即可見的HTTP和網(wǎng)絡配置錯誤配置錯誤包括默認憑證、未授權訪問門戶、CVE漏洞等通過查看ClickHouse的API，能夠訪問HTTPAPI，這樣能夠直接查詢MySQL數(shù)據(jù)庫。這個API的存在表明沒有身份驗證或訪問控制，任何人都可以輕松地與數(shù)據(jù)庫交互，獲取敏感數(shù)據(jù)該漏洞暴露的數(shù)據(jù)非常嚴重，尤其是來自log_stre樣的暴露會導致重大的安全風險，因為這些信息可以被惡意用戶利用，進一步攻擊系統(tǒng)或學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）嚴重的漏洞有時不需要很復雜，DeepSeek暴露了其內(nèi)部學習交流可以加學習交流可以加AI肖睿團隊微信號（ABZ2180）通過注入虛假或誤導性數(shù)據(jù)，污染大模型訓練數(shù)據(jù)集干擾模型訓練時的參數(shù)調(diào)整，破壞性能、降低準確性或誘導有害輸出攻擊方式數(shù)據(jù)集污染l模型常用開源第三方或互聯(lián)網(wǎng)自有數(shù)據(jù)集l若未有效清洗，易包含受污染樣本l研究顯示，60美元可毒害0.01%的LAION-400M或COYO-700M數(shù)據(jù)集，100個中毒樣本即可致模型惡意輸出運行期投毒l大模型常周期性用運行期新數(shù)據(jù)重訓l攻擊者可利用此，如在聊天機器人問答中輸入大量錯誤事實，影響其后續(xù)輸出遠超AI聊天機器人錯誤輸出波及依賴模型輸出的下游應用，如推薦系統(tǒng)、醫(yī)療診斷、自動駕駛等可能引發(fā)企業(yè)決策失敗、醫(yī)療誤診、交通事故等嚴重事故通過技術手段繞過LLM的安全機制，可能導致有害輸出，如爭議話題、過度代理、事實不一致、騷擾、仇恨言論、非法活動、法律信息、錯位、過度依賴、隱私攻擊、褻瀆、自殘、敏感信息泄露、色情內(nèi)容、不道德行為以及暴力/不安全行為等攻擊方式攻擊者利用精心設計的提示詞或漏洞，讓模型突破原本設定的安全限制，輸出不符合道德、法律規(guī)范或模型開發(fā)者預期的結果研究數(shù)據(jù)賓夕法尼亞大學的研究者使用來自HarmBench數(shù)據(jù)集的50個有害提示詞對DeepSeekR1進行測試，結果其未能攔截任何一個有害請求，攻擊成功率達到100%QualysTotalAI測試了18種不同的越獄攻擊類型，總共進行了885次越獄測試和891次知識庫評估，測試規(guī)模相當全面。結果顯示，DeepSeek-R1LLaMA8B模型在61%的知識庫測試和58%的越獄攻擊中失敗生成有害指令：可能生成指導有害活動的指令，如教導如何制造危險物品、進行非法操作等，對社會安全和個人安全構成威脅傳播不良言論：制造仇恨言論內(nèi)容，可能引發(fā)社會矛盾和沖突，破壞社會和諧與穩(wěn)定，對特定群體造成傷害宣揚錯誤觀念：宣揚陰謀論等沒有事實依據(jù)的內(nèi)容，誤導公眾，干擾人們對正常事物的認知和判斷，影響社會的理性氛圍提供錯誤信息：在醫(yī)療等專業(yè)領域提供錯誤信息，可能會誤導用戶做出錯誤的醫(yī)療決策，對健康造成危害除了上述5個主要的安全問題以外，還存在其他安全隱輸出處理不安全l用戶沒檢查大模型的輸出結果就用于展示，這樣會導致信息泄露、誤導決策和聲譽受損等后果供應鏈漏洞l大語言模型依賴的組件或服務存在安全問題，從而被攻擊者利用進行惡意攻擊敏感信息披露l大模型回復信息包含了敏感機密信息，讓人非法獲取機密數(shù)據(jù)、侵犯隱私并造成安全問題插件設計不安全l大模型的插件輸入方式不安全和訪問控制不到位，會導致遠程代碼執(zhí)行和越權的安全問題過多權限l大模型擁有過多功能和權限，導致執(zhí)行了有害操作，而大模型根本不知道操作是有害的安全配置服務器采用加密傳輸實時監(jiān)控與預警定期漏洞掃描與更新安全配置服務器采用加密傳輸實時監(jiān)控與預警定期漏洞掃描與更新應急響應與恢復A加強模型設計與驗證嚴格代碼審查學習交流可以加AI肖睿團隊微信號（ABZ2180）學習交流可以加AI肖睿團隊微信號（ABZ2180）部署階段運行階段開發(fā)階段強化數(shù)據(jù)管理在數(shù)據(jù)收集環(huán)節(jié)，確保數(shù)據(jù)來源合法合規(guī)，避免使用來源不明或存在安全據(jù)。對收集到的數(shù)據(jù)進行嚴格清洗和預處理，去除錯誤、重復及可能包的數(shù)據(jù)。在數(shù)據(jù)存儲時，采用加密技術對數(shù)據(jù)進行加密存儲，確保數(shù)加強模型設計與驗證采用安全的模型架構設計，避免使用已知存在安全風險的架構或算法。使用對抗訓練技術，通過生成對抗樣本，讓模型在訓練過程中學習識別嚴格代碼審查對模型開發(fā)過程中的代碼進行嚴格的審查，遵循安全編碼規(guī)范，避免出安全漏洞，如緩沖區(qū)溢出、SQL注入等。采用學習交流可以加AI肖睿團隊微信號（ABZ2183）開發(fā)階段運行階段部署階段安全配置服務器選擇安全可靠的服務器環(huán)境，對服務器的操作系統(tǒng)、網(wǎng)絡配置等進行安全時更新服務器的補丁和安全更新，關閉不必要的服務和端口。采用防火墻、測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）等安全設采用加密傳輸在模型部署和數(shù)據(jù)傳輸過程中，采用加密技術對數(shù)據(jù)進行加密傳輸，確保時，對模型的訪問進行身份驗證和授權，只有經(jīng)過授權的用戶才能訪問學習交流可以加AI肖睿團隊微信號（ABZ2184）開發(fā)階段部署階段運行階段實時監(jiān)控與預警建立實時監(jiān)控系統(tǒng)，對模型的運行狀態(tài)進行實時監(jiān)控，包括模型的性能穩(wěn)定性等指標。通過監(jiān)控數(shù)據(jù)，及時發(fā)現(xiàn)模型運行過程中出現(xiàn)的異常情況，定期漏洞掃描與更新定期對模型進行漏洞掃描，使用專業(yè)的漏洞掃描工具，檢測模型是否存全漏洞。對于發(fā)現(xiàn)的漏洞，及時進行修復，確保模型的安全性。同時，建立理機制，對漏洞的發(fā)現(xiàn)、修復和驗證等過程進行跟蹤應急響應與恢復制定完善的應急響應計劃，當模型遭受攻擊或出現(xiàn)安全事件時，能夠效的應急措施，降低損失。建立備份和恢復機制，定期對模型和數(shù)據(jù)進行備確保在出現(xiàn)安全事件時，能夠快速恢復模型和數(shù)據(jù)的正8,8PEKINGUNIVERSITYPEKINGUNIVERSITYDeepSeek私有化部署的2個安全問題學習交流可以加AI肖睿團隊微信號（ABZ2180）問題1：針對DeepSeek本地化部署實施網(wǎng)絡攻擊的風險問題2：DeepSeek本地化部署工具的風險問題1：針對DeepSeek本地化部署實施網(wǎng)絡攻擊的風險2025年3月10日，工信部發(fā)布防范針對De問題1：針對DeepSeek本地化部署實施網(wǎng)絡攻擊的風險的“ds大模型安裝助手”程序，針對試圖自問題1：針對DeepSeek本地化部署實施網(wǎng)絡攻擊的風險問題1：針對DeepSeek本地化部署實施網(wǎng)絡攻擊的風險攻擊示例：安裝后會創(chuàng)建文件夾Axialis并在1.程序會靜默執(zhí)行Decision.vbs腳本2.通過powershell執(zhí)行silently腳本，并繞過安全沙箱加載Update.dll3.從Config中解密并提取出內(nèi)存注入惡意代碼，同時規(guī)避安全檢測4.木馬上線，遠程連接銀狐服務器5.銀狐可獲取DeepSeek服務器系統(tǒng)信息、注入進程、執(zhí)行命令、鍵盤記錄、操作注冊表和屏幕監(jiān)控等2025年3月6日，工信部發(fā)布關于防范大模監(jiān)測數(shù)據(jù)顯示：在8971個Ollama部署的大模型服務器中，有6449個活躍服務器，僅國內(nèi)就有5669個運行DeepSeekR1的服務器，其中88.9%都“裸奔”在互聯(lián)網(wǎng)上通過簡單的攻擊語句就能控制大模型，并獲取后臺數(shù)據(jù)由于DeepSeek爆火，官網(wǎng)的訪問量過大，服務時常處于繁忙狀態(tài)，用戶們開始尋找替代方案，紛紛選擇使用Ollama+OpenWebUI、LMStudio等工具進行本地快速部署通過這種方式，企業(yè)能夠將強大的AI能力引入內(nèi)網(wǎng)，提升辦公效率和數(shù)據(jù)處理能力，個人用戶也可以在自己的PC中暢享DeepSeek帶來的便利當Ollama啟動時，默認會開放11434端口。在該端口上，可通過restfulapi公開執(zhí)行一系列核心功能，其中包括模型的下載、上傳，以及進行模型對話等操作。通常，在默認設置下，Ollama僅在本地開放此端口，為本地的使用提供便利。然而，在Ollama的docker環(huán)境中情況有所不同，其默認會以root權限啟動，并且會將11434端口開放至公網(wǎng)，與僅在本地開放的常規(guī)情況形成了差異Ollama對這些接口普遍沒有鑒權，導致攻擊者掃描到這些oll模型刪除直接刪除大模型模型竊取查看ollama模型，自建鏡像服務器，竊取私有模型中的文件查看ollama模型，隨后通過請求對話竊取目標機器算力模型投毒下載有毒模型，將有毒模型遷移到用戶的正常大模型，污染使用者對話遠程命令執(zhí)行漏洞Ollama遠程命令執(zhí)行漏洞【CVE-2024-3703Ollama開放HTTP服務的多個API端點經(jīng)過測試發(fā)現(xiàn)Ollama其默認服務端口11434并無口令驗證或apikey驗證等安全訪問機制。查詢在13931個搜索結果中，僅我國內(nèi)就有6528個大模型服務器處于活躍狀態(tài)任意訪問一個服務器即可看到Deepseek模型部署的具體情況【CVE-2024-37032】是Ollama開源框架中一個嚴重的路徑遍歷漏洞，允許遠程代碼執(zhí)行(RCE）。該漏洞影響Ollama0.攻擊者準備惡意文件HTTP請求包構造文件名../../拼接文件路徑UPLOAD_DIR攻擊者準備惡意文件HTTP請求包構造文件名../../拼接文件路徑UPLOAD_DIR/filename通過HTTPPOST上傳文件服務器接收上傳請求路徑驗證機制用戶通過OpenWebUI的界面上傳文件，文件會被存儲到靜態(tài)上路徑驗證機制寫入任意路徑寫入sshauthorized_keys遠程命令執(zhí)行上傳文件名可偽造，未進行校驗，允許攻擊者通過構造包含路徑遍歷字符如../../的文件名，將文件上傳至任意目錄寫入任意路徑寫入sshauthorized_keys遠程命令執(zhí)行通過篡改清單文件并插入惡意Digest，使得模型在被推送到遠程注冊表（http://[肉雞IP]:11434/api/push）時觸發(fā)惡意行為，從而泄露服務器上的敏感文件，服務器將泄露字段中指定的文件的內(nèi)容，僅需要一個文件就就可以黑掉AI大模型模型服務器通過接口將模型功能對外提供服務，以便其他應用程序或用戶能夠訪問和使用該模型進行預測、推理等操作。使用網(wǎng)絡空間資產(chǎn)搜索引擎，利用特殊語法搜索ollama應用程序，可暴露部署模型Ollama通常會在11434端口上提供HTTP接口，允許用戶通過發(fā)送HTTP請求來與DeepSeek服務器進行交互。同時也可以用于模型的管理操作，例如加載、卸載模型，查詢模型的狀態(tài)和信息等使用特殊插件設置要攻擊的DeepSeek大模型IP地址及端口號。即可獲取管理權限獲取管理權限之后，即可在管理平臺中刪除模型、添加模型。添加/刪除模型新知識、添加刪除提示詞以及修改各種設置通過添加特定提示詞，可誘導大模型生成錯誤或混淆視聽的信息。例如：可惡意添加模型的系統(tǒng)提示詞?？梢宰尞斍澳Ｐ突貜陀脩舻膯栴}必須使用指定的語言被入侵的模型應用了系統(tǒng)提示詞之后，回復用戶的都是怪字符。如果大模型經(jīng)常生成惡意或錯誤的信息，用戶將對其失去信任，這會阻礙人工智能技術的推廣和應用，影響整個行業(yè)的發(fā)展。嚴重警告！以上操作根據(jù)具體行為和造成的后果，會違反多種法律法規(guī)。提醒所有讀者切勿模仿！入侵并修改入侵并修改系統(tǒng)提示詞后，大模型只會用怪字符回答問題安全防范安全防范系統(tǒng)與人員安全防范系統(tǒng)與人員安全防范模型安全防范學習交流可以加AI肖睿團隊微信號（ABZ2188）模型驗證與簽名在模型部署前，對模型進行完整性驗證和數(shù)字簽名，確保模型未被篡改。哈希算法計算模型的哈希值，并與官方發(fā)布的哈希值進行比對；數(shù)字簽模型更新管理建立安全的模型更新機制，確保模型更新的安全性和可靠性。在更新模新包進行嚴格的安全檢測，驗證更新的合法性和完整性。同時，對模型防止模型竊取采取技術措施防止模型被竊取，例如對模型進行加密存儲，限制模型的學習交流可以加AI肖睿團隊微信號（ABZ2189）系統(tǒng)安全加固關閉不必要的服務和端口，降低系統(tǒng)被攻擊的風險。定期進行系統(tǒng)安人員安全管理加強對涉及大模型部署和管理的人員的安全培訓，提高其安全意識和操作技能定嚴格的人員管理制度，規(guī)范人員的操作行為，防止內(nèi)部人員因誤操作或惡導致安全事故。同時，對人員的訪問權限進行定期審查和更新，確保人員權學習交流可以加AI肖睿團隊微信號（ABZ2180）網(wǎng)絡隔離在內(nèi)部網(wǎng)絡劃分不同安全區(qū)域，將大模型相關服務置于安全級別較防火墻設置制定精細的訪問控制策略，阻止未經(jīng)授權的網(wǎng)絡訪問和異常流量。定期入侵檢測與防御安裝入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），實時監(jiān)測網(wǎng)絡發(fā)現(xiàn)并阻止惡意攻擊行為。通過配置合理的檢測規(guī)則，對常見的攻擊8,8PEKINGUNIVERSITYPEKINGUNIVERSITYDeepSeek外延的3個安全問題學習交流可以加AI肖睿團隊微信號（ABZ2180）問題1：仿冒DeepSeek官方APP植入手機木馬問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息問題3：利用DeepSeek實現(xiàn)自動滲透攻擊國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協(xié)同分析平臺（）在我國境內(nèi)捕獲發(fā)現(xiàn)針對我國用戶的仿冒國產(chǎn)人工智能大模型“DeepSeek”官方APP的安卓平臺手機木馬病毒應用名稱elffO86b629ce744a7c8dbe6f3db0f68CN=AndroidDebug.OU=Android,O=Unknown,L=Unknown,ST=Hash(MD5)20f46148b72d8e5e5ca23d37a4f4網(wǎng)絡犯罪份子立即加以利用，捆綁了木馬的APP與DeepSeek官方APP“長相一致”用戶一旦點擊運行仿冒APP，該APP會提示用戶“需要應用程序更新”，并誘導用戶點擊“更新”按鈕。用戶點擊后，會提示安裝所謂的“新版”DeepSeek應用程序，實際上是包含惡意代碼的子安裝包，并會誘導用戶授予其后臺運行和使用無障礙服務的權限該病毒App還包含攔截用戶短信、竊取通訊錄、竊取手機應用程序列表等侵犯公民個人隱私信息的惡意功能和阻止用戶卸載的惡意行為問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息除仿冒DeepSeek手機APP之外，還有大量仿冒域名、仿冒官方網(wǎng)站的現(xiàn)象。對外發(fā)布行騙消息。預計未來一段時間內(nèi)，包括仿冒DeepSeek在內(nèi)的各種人工智能應用程序的病毒木馬將持續(xù)增加問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息據(jù)統(tǒng)計，自2024年12月1日至2025年2月3日，共監(jiān)測到2650個仿冒DeepSeek的網(wǎng)站全球化趨勢。在這些仿冒DeepSeek的域名中，有60%的解析IP位于美國，其余則主要分布在新加坡、德國、立陶宛、俄羅斯和中國等地。這一全球化特點意味著用戶可能面臨來自世界各地的不同類型網(wǎng)絡攻擊，使得潛在的安全威脅更加復雜多變“DeepSeek”域名仿冒分布情況問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息仿冒域名的形式多種多樣，常見的有“deepsek”“deepscek”“deeepseeek”等。這些域名與官方的“”和“”極為相似，容易誤導用戶，從域名注冊機構查詢，各種形式的仿冒域名均已被注冊用戶自己訪問網(wǎng)站時一定要仔細核對域名，從官方渠道或正規(guī)應用商店下載App；安裝殺毒軟件和安全插件；不點擊不明鏈接問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息使用黑客攻擊即可輕易創(chuàng)建與目標網(wǎng)站外觀、布局等高度相似的虛假網(wǎng)站將仿冒網(wǎng)站上線后，即可誘騙用戶輸入賬號密碼等敏感信息，進而實施惡意行為問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息仿冒的網(wǎng)站頁面與DeepSeek登錄頁面外觀完全一致右側為仿冒的DeepSeek登錄頁面問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息模擬用戶使用自己的用戶名和密碼去登錄仿冒的DeepSeek網(wǎng)站仿冒網(wǎng)站通常是黑客搭建的，目的是騙取用戶的個人信息，如賬號、密碼、身份證號、銀行卡信息等。一旦用戶在仿冒網(wǎng)站上輸入這些信息，就會被不法分子獲取，可能導致個人隱私泄露，甚至賬戶資金被盜取問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息仿冒網(wǎng)站收集用戶登錄的用戶名和密碼是一種極其惡劣的網(wǎng)絡犯罪行為一旦用戶輸入，這些數(shù)據(jù)就會被立即傳送給黑客后臺。他們隨后即可利用這些用戶名和密碼去登錄用戶的真實賬戶，獲取用戶數(shù)據(jù)問題2：仿冒DeepSeek官方網(wǎng)站和域名收集用戶信息通過收集用戶主機的操作系統(tǒng)版本、軟件等信息，黑客可了解目標系統(tǒng)可能存在的漏洞，針對性地編寫攻擊代碼或利用已知漏洞進行入侵收集瀏覽器信息如版本、插件列表等，能幫助黑客發(fā)現(xiàn)可利用的瀏覽器漏洞，或針對特定瀏覽器定制釣魚頁面，提高攻擊成功率效率與速度依賴人工，耗時長，效率低覆蓋有限，難以覆蓋復雜攻擊面全面覆蓋復雜攻擊面，適應多種架構誤報率高（20%-40%）誤報率低（低于3%）攻擊鏈生成成本與可擴展性依賴高技能工程師，人力成本高，難以快速擴展部署成本低，適合中小企業(yè)，可快速擴展攻擊能力依賴經(jīng)驗與規(guī)則庫，難以發(fā)現(xiàn)未知漏洞強推理能力，可快速發(fā)現(xiàn)并驗證零日漏洞手動調(diào)整攻擊策略，靈活性有限動態(tài)防御機制，快速適應攻擊變種攻擊過程相對透明，易被發(fā)現(xiàn)攻擊隱蔽性強，可能利用模型推理漏洞繞過防御DeepSeek可以快速從大量的網(wǎng)絡資源、文檔、論壇等渠道中提取與目標相關的信息，如目標系統(tǒng)的技術架構型等，幫助測試人員全面了解目標情報分析對收集到的各種情報進行關聯(lián)分析，挖掘出潛在的攻擊面和薄弱環(huán)節(jié)，例如通過分析目標公司的業(yè)務流程和技術選型，推測可能存在的安全風漏洞識別跨站腳本攻擊（XSS）等，提高漏洞發(fā)現(xiàn)的效率代碼生成對于一些已知類型的漏洞，DeepSeek可以生成相應的漏洞利用代碼框架或思路，為測試人員提供參風險評估DeepSeek可以綜合考慮漏洞的嚴重程度、影響范圍、利用難度等因素，對發(fā)現(xiàn)的漏洞進行風險評估，驗證測試DeepSeek可以生成一些測試用例和驗證方法，幫助測試人員對漏洞進行進一步的驗證和確認，DeepSeek能夠根據(jù)測試結果，快速生成規(guī)范、詳細的滲透測試報告，包括漏洞描述、影響分析、修復建議等對報告內(nèi)容進行語言潤色和優(yōu)化，使報告更易于理解和閱讀，便于向非技術人員或管理層進行匯報使用nmap進行手動掃描并獲取結果，本例要掃描的目標是12，實際使用時替換為真實的目標IP地址或域名，且確保對目標的掃描是合法合規(guī)的在全端口掃描中，發(fā)現(xiàn)了一些開放端口，比如445、5000、7000等端口處于開放狀態(tài)。對于這些開放端口，目前不清楚對應的具體服務及潛在的安全風險，希望DeepSeek幫忙分析這些開放端口可能存在的安全隱患腳本對目標自動進行掃描，