b站推广网站入口mmm2022最新版百度
大家好,我是吾鳴。
今天吾鳴发现北京大学又发布DeepSeek报告了,我们使用DeepSeek,需要考虑到数据隐私安全问题,然后我们本地部署DeepSeek也需要考虑到网络安全问题。包括在DeepSeek刚刚发布的时候,就遭受到了流量洪水攻击。北京大学的这份报告就是讲解关于DeepSeek应用场景中需要关注的十个安全问题以及我们需要如何防范。报告一共101页,文末有完整版下载地址。
内容摘要
1. DeepSeek安全问题的特点及安全方案框架
DeepSeek的安全问题具有“威胁难以预测”和“攻防非对称”两大特点。威胁难以预测源于AI模型的“黑箱”特性和复杂系统的“涌现”行为;攻防非对称性表现为攻击成本低而防御成本高。安全方案框架分为“内生安全”和“外延安全”:内生安全聚焦模型算法、数据安全及系统稳定性(如对抗攻击防护、数据隐私保护);外延安全涵盖法律、伦理、网络攻击滥用等外部风险(如虚假信息传播、技术滥用)。
2. DeepSeek模型的5个安全问题
① DDoS攻击:攻击者通过僵尸网络(如HailBot、RapperBot)发起多阶段流量攻击,导致服务瘫痪;
② 无限推理攻击:恶意查询占用计算资源,以低成本耗尽服务器算力;
③ 漏洞探测与利用:黑客通过子域名扫描、异常端口探测(如ClickHouse数据库未授权访问)窃取敏感数据;
④ 投毒问题:污染训练数据或运行期输入,诱导模型输出错误或有害内容;
⑤ 越狱问题:绕过模型安全限制,生成非法指令、仇恨言论或泄露隐私信息。
3. DeepSeek私有化部署的2个安全问题
① 网络攻击风险:攻击者利用钓鱼网站传播伪造的本地部署工具(如捆绑木马的“ds大模型安装助手”),植入远程控制程序(如HackBrian RAT),窃取数据或劫持服务器;
② 部署工具漏洞:开源工具(如Ollama)默认开放高危端口(11434),缺乏鉴权机制,导致未授权访问、模型窃取或远程代码执行(如CVE-2024-37032)。
4. DeepSeek外延的3个安全问题
① 仿冒APP植入木马:伪装官方应用诱导用户安装,窃取短信、通讯录并阻止卸载;
② 仿冒网站与域名:通过相似域名(如deepsek.tech)收集用户登录信息,实施钓鱼攻击;
③ 辅助渗透攻击:利用DeepSeek自动化生成漏洞利用脚本(如端口扫描、代码注入),提升攻击效率并降低误报率。
精彩内容
报告无套路自取:https://kdocs.cn/l/ci1DfElGCPoS