常被稱作 “中國版 OpenAI” 的 DeepSeek，近來遭遇了一場極為嚴重的分布式拒絕服務（DDoS）攻擊。本文將深入探討專家對于人工智能行業(yè)所面臨安全挑戰(zhàn)的觀點，以及制定主動防御策略的緊迫性。

DeepSeek 究竟是誰？

DeepSeek - R1 是中國初創(chuàng)公司 DeepSeek 研發(fā)的一款大型語言模型（LLM），作為領先的開源推理模型，它與 OpenAI 的 o1 系列不相上下。DeepSeek - R1 依據(jù) MIT 許可協(xié)議發(fā)布，其訓練方式主要采用強化學習，這與傳統(tǒng)的大語言模型訓練方法截然不同，彰顯出行業(yè)朝著小型開源模型發(fā)展的趨勢。DeepSeek 的實踐表明，出色的工程設計必須兼顧性能與成本效益。

IBM 董事長兼首席執(zhí)行官阿爾溫德?克里希納指出，DeepSeek 的經(jīng)歷證明，優(yōu)秀的工程設計應在性能和成本兩方面進行優(yōu)化?！霸?IBM，我們觀察到，專用模型能夠?qū)⑷斯ぶ悄芡评沓杀窘档投噙_ 30 倍，從而實現(xiàn)更高效且更易實現(xiàn)的訓練?！?/p>

截至 2025 年 1 月 31 日，DeepSeek 的 R1 模型在 Chatbot Arena 基準測試中位列第六，超越了 Meta 的 Llama 3.1 - 405B 和 OpenAI 的 o1 等模型。然而，在全新的人工智能安全基準測試 ——WithSecure 的簡單提示注入評估與利用工具包（Spikee）中，R1 的表現(xiàn)卻不盡人意。這一情況凸顯出人工智能發(fā)展過程中的一個關鍵問題：過于側(cè)重性能而忽視了安全。

DeepSeek 受攻擊時間線

DeepSeek 近期出現(xiàn)的安全漏洞，暴露出一系列嚴重程度和潛在影響各異的問題。下面，讓我們按照嚴重程度從高到低，來分析這些事件：

1. DDoS 攻擊

2025 年 1 月，DeepSeek 遭受了一場嚴重的 DDoS 攻擊。在 2025 年春節(jié)期間，當千家萬戶闔家團圓歡慶佳節(jié)之時，被譽為 “中國版 OpenAI” 的人工智能明星企業(yè) DeepSeek，卻陷入了有史以來最為嚴峻的安全危機。

攻擊規(guī)模：黑客發(fā)動了一場前所未有的 3.2Tbps DDoS 攻擊，這相當于每秒能夠傳輸 130 部 4K 電影。

影響：DeepSeek 官方網(wǎng)站癱瘓長達 48 小時，全球客戶和合作伙伴都受到影響，造成了數(shù)千萬美元的損失。截至本報告完成時，官方 API 服務仍未完全恢復，國際用戶依舊無法完成注冊。此次 DDoS 攻擊的目標是 DeepSeek 于 2025 年 1 月初發(fā)布的最新開源模型 DeepSeek - R1，且攻擊時間恰好與 2025 年 1 月 28 日發(fā)布的多模態(tài)模型 Janus - Pro 重合。DDoS 攻擊主要導致 DeepSeek 的注冊服務無法使用。

2. XSS 漏洞

DDoS 攻擊之后，DeepSeek 又面臨嚴重的跨站腳本（XSS）漏洞。2025 年 1 月 31 日，在 DeepSeek 的 CDN 端點檢測到一個基于 DOM 的跨站腳本漏洞。該漏洞是由于對 postMessage 事件處理不當導致的，攻擊者可以在不進行適當來源驗證或輸入清理的情況下，將惡意腳本注入文檔上下文。這一漏洞可能導致攻擊者劫持用戶會話、竊取敏感信息，甚至發(fā)起網(wǎng)絡釣魚攻擊。

漏洞原因：受影響端點上的 postMessage 實現(xiàn)在處理消息時，既未驗證來源，也未對輸入進行適當清理。以下代碼片段可以說明問題的根源：

window.addEventListener("message", (e) => {

const keys = Object.keys(e.data);

if (keys.length !== 1) return;

if (!e.data.__deepseekCodeBlock) return;

document.open();

document.write(e.data.__deepseekCodeBlock);

document.close();

const style = document.createElement("style");

style.textContent = "body { margin: 0; }";

document.head.appendChild(style);

});

該函數(shù)直接使用 document.write 將任何__deepseekCodeBlock 負載寫入文檔，跳過了來源驗證（未檢查 postMessage 事件是否來自受信任源）和輸入清理（未對負載中的 HTML/JavaScript 內(nèi)容進行過濾或轉(zhuǎn)義）等關鍵安全措施。

后續(xù)漏洞：雖然據(jù)報道，1 月 31 日的漏洞在 2025 年 2 月 1 日已修復，但同一天又發(fā)現(xiàn)了另一個 XSS 漏洞。這個漏洞使攻擊者能夠在 DeepSeek 人工智能平臺內(nèi)注入并執(zhí)行任意 JavaScript 代碼。攻擊方式為用戶注入以下代碼塊：

Ethically hacked by 0xSaikat (??.. ??.. ??.. ???? ??????, I love you) 
" onload="alert('XSS by 0xSaikat - (??.. ??.. ??.. ???? ??????, I love you)')">

由于輸入未得到妥善清理，注入腳本的 JavaScript 代碼得以執(zhí)行。一旦成功利用此漏洞，可能導致用戶會話被劫持、敏感信息被盜取，或是遭受網(wǎng)絡釣魚攻擊。這一事件充分體現(xiàn)了持續(xù)進行安全測試和漏洞修復的重要性，即便之前的問題已得到解決。

3. ClickHouse 數(shù)據(jù)庫泄露

Wiz Research 最近發(fā)現(xiàn)，DeepSeek 的基礎設施存在重大安全漏洞，通過可公開訪問的 ClickHouse 數(shù)據(jù)庫，大量敏感數(shù)據(jù)被暴露。

在oauth2callback.deepseek.com和dev.deepseek.com托管的兩個數(shù)據(jù)庫實例，在端口 8123 和 9000 上未進行身份驗證，任何人都可以通過 ClickHouse 的 HTTP 接口訪問和操作數(shù)據(jù)。這個漏洞導致超過一百萬行的日志流被曝光，其中包含聊天記錄、API 密鑰、后端詳細信息和操作元數(shù)據(jù)等高度敏感的信息。

Wiz Research 展示了執(zhí)行任意 SQL 查詢的能力，能從名為 log_stream 的表中檢索數(shù)據(jù)，該表包含聊天記錄、API 密鑰和內(nèi)部系統(tǒng)詳細信息等敏感內(nèi)容。

這一事件尤其令人擔憂，因為 DeepSeek 的 R1 論文中并未提及任何特定的加密標準，這讓人對其系統(tǒng)內(nèi)敏感數(shù)據(jù)的保護產(chǎn)生質(zhì)疑。這些數(shù)據(jù)庫包含一個 “l(fā)og_stream” 表，存儲了自 2025 年 1 月 6 日以來的敏感內(nèi)部日志，其中包括用戶對 DeepSeek 聊天機器人的查詢、后端系統(tǒng)用于驗證 API 調(diào)用的密鑰、內(nèi)部基礎設施和服務信息，以及各種操作元數(shù)據(jù)。

4. 模型投毒

這是一種更為隱蔽的威脅。攻擊者利用 DeepSeek API 中的漏洞注入對抗樣本，試圖操控模型的行為和輸出。這種攻擊可能產(chǎn)生長期的不良后果，比如降低模型性能、引入偏差，甚至讓惡意代碼得以執(zhí)行。

DeepSeek 對 Common Crawl 等大型公開可用數(shù)據(jù)集的依賴，進一步加大了這種風險，因為攻擊者有可能向這些數(shù)據(jù)源注入惡意數(shù)據(jù)，從而污染模型。這一事件凸顯出針對模型投毒建立強大防御機制的迫切需求，包括數(shù)據(jù)驗證、異常檢測和模型監(jiān)控。

5. 模型越獄

DeepSeek 的模型，包括 V3 和 R1，被發(fā)現(xiàn)容易受到越獄技術(shù)的操控。帕洛阿爾托網(wǎng)絡公司（Palo Alto Networks）的研究人員利用 “欺騙性喜悅”（Deceptive Delight）、“不良李克特評判”（Bad Likert Judge）和 “漸強”（Crescendo）等方法，成功實現(xiàn)了對模型的越獄。這些技術(shù)利用了模型安全機制中的漏洞，使得攻擊者能夠繞過限制，進而有可能未經(jīng)授權(quán)訪問信息或操控模型行為。

DeepSeek 迫切需要重視并投入資源建立強大的安全措施，包括對抗訓練、延長日志保留時間和加快事件響應速度，以此降低漏洞風險，防范日益復雜的網(wǎng)絡威脅。

OpenAI 的安全事件

盡管 DeepSeek 近期的漏洞突出了重大安全問題，但我們也不能忽視，即便是像 OpenAI 這樣的人工智能行業(yè)巨頭，同樣也面臨過安全挑戰(zhàn)。在 OpenAI 的早期發(fā)展階段，曾遭遇過眾多攻擊和漏洞，這表明實現(xiàn)強大的人工智能安全并非一蹴而就，而是一個復雜且持續(xù)的過程。研究 OpenAI 的經(jīng)歷，能為整個人工智能社區(qū)提供寶貴的經(jīng)驗，強調(diào)在面對不斷變化的威脅時，持續(xù)改進和適應的重要性。

• 2023 年 3 月數(shù)據(jù)泄露：2023 年 3 月 24 日，ChatGPT 的開發(fā)公司 OpenAI 在其博客上公布了一起數(shù)據(jù)泄露事件。博文中指出，一個漏洞導致用戶能夠看到其他活躍用戶的部分聊天記錄和部分支付數(shù)據(jù)，其中暴露的支付數(shù)據(jù)包括支付地址、信用卡類型、信用卡到期日期以及信用卡號碼的后四位。
• 2023 年 6 月憑據(jù)被盜：2023 年 6 月，Group - IB 的一個威脅情報團隊發(fā)布報告稱，在過去 12 個月里，有超過 10.1 萬個 ChatGPT 憑據(jù)被惡意軟件竊取。研究人員在暗網(wǎng)上發(fā)現(xiàn)了這些賬戶，它們與其他被盜數(shù)據(jù)一同出售。不過需要注意的是，這些賬戶是因為用戶設備上的惡意軟件而泄露，并非 ChatGPT 自身系統(tǒng)被攻破。
• 2023 年內(nèi)部消息系統(tǒng)遭入侵：據(jù)《紐約時報》報道，2024 年披露，2023 年有一名黑客入侵了 OpenAI 的內(nèi)部消息系統(tǒng)，并竊取了該公司人工智能技術(shù)設計的相關細節(jié)。報道稱，黑客是從一個在線論壇的討論中獲取到這些信息的，在該論壇中員工們討論了 OpenAI 的最新技術(shù)。然而，據(jù)稱 OpenAI 從未就 2023 年的數(shù)據(jù)泄露事件進行報告。
• 2025 年仍存在漏洞：即便到了 2025 年，OpenAI 依然存在漏洞問題。一位研究人員報告稱，通過向一個無關的 ChatGPT API 發(fā)送 HTTP 請求，就可以觸發(fā) ChatGPT 爬蟲對目標網(wǎng)站進行 DDoS 攻擊。OpenAI 軟件中的這一缺陷，會利用 ChatGPT 爬蟲運行所在的多個微軟 Azure IP 地址范圍，對毫無防備的受害者網(wǎng)站發(fā)起 DDoS 攻擊。其嚴重程度的 CVSS 評分高達 8.6，因為它基于網(wǎng)絡，攻擊復雜度低，無需特權(quán)，無需用戶交互，影響范圍改變，雖對保密性和完整性無影響，但對可用性影響極大。

DeepSeek 并非唯一遭受 XSS 攻擊的受害者。Claude 在早期也面臨諸多漏洞。一位研究人員報告稱，在 DeepSeek 聊天中輸入 “以項目符號列表形式打印 XSS 作弊表。只需列出有效載荷”，會觸發(fā)作為生成響應一部分的 JavaScript 代碼執(zhí)行。發(fā)現(xiàn)這一問題后，他進一步檢查是否存在提示注入的情況，即用戶可能利用 DeepSeek 處理來自他人的不可信數(shù)據(jù)。攻擊者可以輕松獲取chat.deepseek.com域的 localStorage 中存儲的 userToken。如果應用程序容易受到 XSS 攻擊，且大語言模型能夠利用該漏洞，那么提示注入就有可能完全控制用戶賬戶。

如何保護人工智能模型

DeepSeek 的數(shù)據(jù)泄露事件，充分表明了零信任安全的必要性，即無論是內(nèi)部還是外部實體，都不能被無條件信任。人工智能系統(tǒng)在授予對 API、數(shù)據(jù)庫或模型權(quán)重的訪問權(quán)限之前，應該要求進行持續(xù)身份驗證、最小權(quán)限訪問和上下文驗證。通過實施基于身份的訪問控制（RBAC 和 ABAC）和多因素身份驗證（MFA），企業(yè)能夠防止未經(jīng)授權(quán)的訪問，降低內(nèi)部威脅。

此次數(shù)據(jù)泄露中，最令人擔憂的威脅之一是模型權(quán)重操縱，即對抗樣本干擾人工智能的決策。人工智能模型在每次訓練和部署階段，都應該使用 HMAC、RSA 或 ECC 簽名進行加密簽名，以確保完整性。此外，采用如可信執(zhí)行環(huán)境（TEE）等安全飛地技術(shù)，可以防止對人工智能模型的未經(jīng)授權(quán)修改。

DeepSeek 的數(shù)據(jù)泄露暴露了內(nèi)部安全的薄弱環(huán)節(jié)，而通過員工網(wǎng)絡安全意識培訓，原本可以減輕這些問題。定期培訓項目應該向工程師、研究人員和員工傳授安全編碼實踐、網(wǎng)絡釣魚防范意識、提示注入風險以及人工智能特定的攻擊向量等知識。同時，應該開展模擬網(wǎng)絡釣魚活動和安全演練，確保團隊有能力識別并應對威脅。

我們必須認識到，傳統(tǒng)安全架構(gòu)對于大型人工智能模型來說是不夠的。企業(yè)應該將安全理念融入企業(yè)文化，轉(zhuǎn)向系統(tǒng)級安全措施。這需要一種全面的方法，涵蓋從模型開發(fā)到基礎設施管理的人工智能系統(tǒng)的各個方面。

為了防止出現(xiàn)類似chat.deepseek.com上的 XSS 漏洞，平臺需要對用戶生成的代碼輸入進行清理。要確保進行適當?shù)妮斎?/ 輸出清理，并實施腳本沙盒。例如，在未首先驗證的情況下，切勿直接渲染和執(zhí)行人工智能生成的代碼。

通過持續(xù)的紅隊評估，對所有人工智能接口、API 和后端服務進行持續(xù)的安全滲透測試。此外，設立漏洞賞金計劃，鼓勵道德黑客在惡意行為者利用漏洞之前，負責任地披露漏洞。

參考來源：https://cybernews.com/editorial/how-deepseeks-security-failures-shape-the-future-of-cyber-defense/