攻击升级 破坏力大 国产大模型“急呼”安全护航

图为湖北省襄阳市老年大学授课教师为学员讲解如何使用DeepSeek人工智能应用。 新华社发（杨东 摄）

图片来源于网络，如有侵权，请联系删除

  随着DeepSeek（深度求索）的全球爆火，网络攻击也接踵而至，引发业界对大模型安全的关注。专家认为，此次针对DeepSeek的网络攻击持续时间长、破坏力大、手段多、变化快，折射出当前复杂而严峻的网络安全形势。

图片来源于网络，如有侵权，请联系删除

  DeepSeek频遭攻击

  奇安信Xlab实验室近期连续发布的安全报告显示，今年以来，DeepSeek先后遭遇反射攻击、HTTP代理攻击、DDoS攻击（分布式拒绝服务攻击）、僵尸网络等各种安全威胁，甚至一度对正常服务造成严重影响。

  奇安信Xlab实验室安全专家王辉说，与以往的网络攻击事件相比，DeepSeek此轮遭遇的网络安全攻击具有持续时间长、破坏力大、手段多、变化快等特征。

  监测数据显示，从1月3日开始，1月22日攻击升级，1月27、28日进入第一个高峰，1月30日僵尸网络下场……这波针对DeepSeek的网络攻击持续时间之长前所未有，甚至出现攻击常态化现象。

  不仅如此，此轮网络攻击影响范围广，烈度不断升级，破坏力大，潜在威胁不容忽视。监测数据显示，2024年12月1日至2025年2月3日期间，共出现了2650个仿冒DeepSeek的域名，这些仿冒域名主要用于钓鱼欺诈、域名抢注等非法用途。截至目前，仿冒域名的数量仍在持续增加。

  利用市场的兴奋情绪，一些不法分子推出了所谓DeepSeek“加持”的各种“空气币”（即没有实际价值的虚拟货币），甚至出现了宣称可以购买DeepSeek内部原始股的网站。

  值得注意的是，此轮针对DeepSeek的网络攻击手段层出不穷，给网络防御带来极大难度。仅1月3日至1月30日期间，就先后出现了SSDP、NTP反射放大攻击，应用层HTTP代理攻击，暴力破解攻击，僵尸网络攻击等多种攻击手段。“尤其是僵尸网络的加入，标志着‘职业打手’已经下场，这说明DeepSeek面对的攻击方式一直在持续进化和复杂化，防御难度不断增加，网络安全形势愈发严峻。”王辉表示。

  数据安全隐患凸显

  在网络攻击“你方唱罢我登场”的同时，大模型的数据安全隐患也开始显现。

  近日，奇安信安全研究团队对常见的大模型工具及平台进行安全检测时发现，广泛应用于大模型部署的架构Ollama、openLLM、Ray最新版存在未授权命令执行漏洞，危害程度极高，一旦被利用可能会对企业和组织造成严重危害。

  亚信安全人工智能实验室同样发现，应用于大模型分布式部署的架构Ray存在未授权命令执行漏洞，并第一时间上报给国家信息安全漏洞共享平台（CNVD-2024-47463）及通用漏洞披露平台（CVE-2024-57000）。CVE通用漏洞评分系统（CVSS）对该漏洞的评分高达9.8分，是近年来评分最高的漏洞之一。

  据介绍，Ray是一款强大且易用的分布式计算框架，在大模型高性能计算与分布式部署中扮演着关键角色，包括DeepSeek在内的许多大模型都在采用该框架，广泛应用于数据预处理、分布式训练、超参数调优、模型服务和强化学习等领域。

  安全专家告诉记者，此次发现的漏洞属于高危未授权代码执行漏洞，可绕过身份验证和执行未授权代码，攻击者可利用该漏洞，窃取Ray集群中的敏感信息，包括模型训练数据、模型参数等。此外，攻击者还可利用该漏洞，在Ray集群中执行任意恶意指令，如设置后门、删除业务数据等。“建议使用Ray框架的企业，及时采取必要的安全防护措施，避免因漏洞造成损失。”

  另一个在DeepSeek私有化部署或本地部署中常用到的工具Ollama也被发现存在安全隐患。

  近日，奇安信资产测绘鹰图平台监测发现，8971个运行了0llama大模型框架的服务器中，有6449个活跃服务器。其中，88.9%的服务器“裸奔”在互联网上，使得任何人不需要任何认证即可随意调用，并在未经授权的情况下访问这些服务，从而导致数据泄露和服务中断，甚至可以发送指令删除所部署的DeepSeek、Qwen等大模型文件。

  安全专家建议，所有部署DeepSeek服务的企业和个人应立即采取有效的安全防护措施。此外，个人用户需要警惕不知名厂商提供的DeepSeek大模型服务，一些不良厂商在使用被盗资源对外售卖、骗取钱财的同时，还实时监控用户提交的所有数据，造成用户隐私泄露。

  亟待构筑安全防线

  业内人士认为，守护大模型安全将是一场旷日持久的网络攻防博弈，为AI产业构筑安全可靠的网络防线势在必行。

  奇安信安全专家龚玉山认为，包括DeepSeek在内的国产大模型，面临的安全风险涵盖了数据安全风险、训练语料安全风险、使用安全风险、应用安全风险、软件供应链安全风险、生成内容风险、大模型自身风险等，急需全面、体系化的安全防护方案。

  对此，受访专家提出了三点建议：首先，做好风险暴露面管理，夯实网络安全基础防护。对于一家大模型公司而言，安全风险不仅仅来自于单个大模型服务，更来自于整家公司。毕竟，公司对外业务开放的同时势必存在很多暴露面，包括数据库授权访问、API接口访问、云服务、域名服务等，这些均有可能成为攻击者的目标，一旦失守，就会导致大规模数据泄露。因此，大模型企业需要做好风险暴露面管理，实施严格的访问控制措施，如建立身份验证和授权机制，限制对API、数据库的访问等。同时，也要做好网络、终端、云、服务器、数据库等基础网络安全防护措施，最大程度减少外部威胁。

  其次，严格制定数据安全保障机制，避免敏感数据泄露。当下，大模型的数据安全面临挑战，尤其政务大模型因涉及敏感数据，其运行直接影响公共利益和国家安全，需要采取更严格的监管要求，特别是训练数据，需要有更系统化、更细化的规范来指导，否则极有可能引发重大危机。

  专家建议，围绕数据来源合规、内容安全合规、敏感数据识别过滤、训练数据标注安全、数据分类分级与安全保护、数据访问控制等方面，制定体系化的防护方案。例如，针对公开的大模型，就不能使用内部、敏感数据来进行训练，从源头避免重要数据泄露风险。

  最后，通过内容风控、应用防护等多重保障，确保大模型运行安全。大模型的运行安全涉及内容生成和应用层面的多重保障，需要确保生成的内容符合相关规定，且系统运行稳定可靠。以大模型应用安全风险中的“提示注入”风险为例，它是指攻击者通过巧妙构造输入提示词，试图突破大语言模型的安全防护机制，引导模型产生不符合预期甚至有害的输出，比如一个聊天机器人原本是为客户提供服务的，但在恶意提示词的诱导下，可能无意间泄露出训练数据中的敏感信息。

  因此，在内容层面，国产大模型需要做好生成内容风控，包括输入内容过滤、输出内容审核，确保大模型在输入内容前经过严格的审查，过滤恶意输入内容，防止不良输出；在应用层面，需要做好Web安全防护、API安全防护、应用访问控制、个人信息保护等，通过严密的安全技术保障和运行监测，确保大模型运行时的安全性、可靠性和稳定性。（记者 吴蔚）