常被稱作 “中國版 OpenAI” 的 DeepSeek，近來遭遇了一場極為嚴重的分布式拒絕服務(wù)(DDoS)攻擊。本文將深入探討專家對于人工智能行業(yè)所面臨安全挑戰(zhàn)的觀點，以及制定主動防御策略的緊迫性。

一、DeepSeek 究竟是誰?

DeepSeek - R1 是中國初創(chuàng)公司 DeepSeek 研發(fā)的一款大型語言模型(LLM)，作為領(lǐng)先的開源推理模型，它與 OpenAI 的 o1 系列不相上下。DeepSeek - R1 依據(jù) MIT 許可協(xié)議發(fā)布，其訓(xùn)練方式主要采用強化學(xué)習(xí)，這與傳統(tǒng)的大語言模型訓(xùn)練方法截然不同，彰顯出行業(yè)朝著小型開源模型發(fā)展的趨勢。DeepSeek 的實踐表明，出色的工程設(shè)計必須兼顧性能與成本效益。

IBM 董事長兼首席執(zhí)行官阿爾溫德?克里希納指出，DeepSeek 的經(jīng)歷證明，優(yōu)秀的工程設(shè)計應(yīng)在性能和成本兩方面進行優(yōu)化。“在 IBM，我們觀察到，專用模型能夠?qū)⑷斯ぶ悄芡评沓杀窘档投噙_ 30 倍，從而實現(xiàn)更高效且更易實現(xiàn)的訓(xùn)練。”

截至 2025 年 1 月 31 日，DeepSeek 的 R1 模型在 Chatbot Arena 基準測試中位列第六，超越了 Meta 的 Llama 3.1 - 405B 和 OpenAI 的 o1 等模型。然而，在全新的人工智能安全基準測試 ——WithSecure 的簡單提示注入評估與利用工具包(Spikee)中，R1 的表現(xiàn)卻不盡人意。這一情況凸顯出人工智能發(fā)展過程中的一個關(guān)鍵問題：過于側(cè)重性能而忽視了安全。

二、DeepSeek 受攻擊時間線

DeepSeek 近期出現(xiàn)的安全漏洞，暴露出一系列嚴重程度和潛在影響各異的問題。下面，讓我們按照嚴重程度從高到低，來分析這些事件：

1. DDoS 攻擊

2025 年 1 月，DeepSeek 遭受了一場嚴重的 DDoS 攻擊。在 2025 年春節(jié)期間，當千家萬戶闔家團圓歡慶佳節(jié)之時，被譽為 “中國版 OpenAI” 的人工智能明星企業(yè) DeepSeek，卻陷入了有史以來最為嚴峻的安全危機。

攻擊規(guī)模：黑客發(fā)動了一場前所未有的 3.2Tbps DDoS 攻擊，這相當于每秒能夠傳輸 130 部 4K 電影。

影響：DeepSeek 官方網(wǎng)站癱瘓長達 48 小時，全球客戶和合作伙伴都受到影響，造成了數(shù)千萬美元的損失。截至本報告完成時，官方 API 服務(wù)仍未完全恢復(fù)，國際用戶依舊無法完成注冊。此次 DDoS 攻擊的目標是 DeepSeek 于 2025 年 1 月初發(fā)布的最新開源模型 DeepSeek - R1，且攻擊時間恰好與 2025 年 1 月 28 日發(fā)布的多模態(tài)模型 Janus - Pro 重合。DDoS 攻擊主要導(dǎo)致 DeepSeek 的注冊服務(wù)無法使用。

2. XSS 漏洞

DDoS 攻擊之后，DeepSeek 又面臨嚴重的跨站腳本(XSS)漏洞。2025 年 1 月 31 日，在 DeepSeek 的 CDN 端點檢測到一個基于 DOM 的跨站腳本漏洞。該漏洞是由于對 postMessage 事件處理不當導(dǎo)致的，攻擊者可以在不進行適當來源驗證或輸入清理的情況下，將惡意腳本注入文檔上下文。這一漏洞可能導(dǎo)致攻擊者劫持用戶會話、竊取敏感信息，甚至發(fā)起網(wǎng)絡(luò)釣魚攻擊。

3. ClickHouse 數(shù)據(jù)庫泄露

Wiz Research 最近發(fā)現(xiàn)，DeepSeek 的基礎(chǔ)設(shè)施存在重大安全漏洞，通過可公開訪問的 ClickHouse 數(shù)據(jù)庫，大量敏感數(shù)據(jù)被暴露。

4. 模型投毒

這是一種更為隱蔽的威脅。攻擊者利用 DeepSeek API 中的漏洞注入對抗樣本，試圖操控模型的行為和輸出。這種攻擊可能產(chǎn)生長期的不良后果，比如降低模型性能、引入偏差，甚至讓惡意代碼得以執(zhí)行。

DeepSeek 對 Common Crawl 等大型公開可用數(shù)據(jù)集的依賴，進一步加大了這種風險，因為攻擊者有可能向這些數(shù)據(jù)源注入惡意數(shù)據(jù)，從而污染模型。這一事件凸顯出針對模型投毒建立強大防御機制的迫切需求，包括數(shù)據(jù)驗證、異常檢測和模型監(jiān)控。

5. 模型越獄

DeepSeek 的模型，包括 V3 和 R1，被發(fā)現(xiàn)容易受到越獄技術(shù)的操控。帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)的研究人員利用 “欺騙性喜悅”(Deceptive Delight)、“不良李克特評判”(Bad Likert Judge)和 “漸強”(Crescendo)等方法，成功實現(xiàn)了對模型的越獄。這些技術(shù)利用了模型安全機制中的漏洞，使得攻擊者能夠繞過限制，進而有可能未經(jīng)授權(quán)訪問信息或操控模型行為。

DeepSeek 迫切需要重視并投入資源建立強大的安全措施，包括對抗訓(xùn)練、延長日志保留時間和加快事件響應(yīng)速度，以此降低漏洞風險，防范日益復(fù)雜的網(wǎng)絡(luò)威脅。

三、如何保護人工智能模型

DeepSeek 的數(shù)據(jù)泄露暴露了內(nèi)部安全的薄弱環(huán)節(jié)，而通過員工網(wǎng)絡(luò)安全意識培訓(xùn)，原本可以減輕這些問題。定期培訓(xùn)項目應(yīng)該向工程師、研究人員和員工傳授安全編碼實踐、網(wǎng)絡(luò)釣魚防范意識、提示注入風險以及人工智能特定的攻擊向量等知識。同時，應(yīng)該開展模擬網(wǎng)絡(luò)釣魚活動和安全演練，確保團隊有能力識別并應(yīng)對威脅。

為了防止出現(xiàn)類似chat.deepseek.com上的 XSS 漏洞，平臺需要對用戶生成的代碼輸入進行清理。要確保進行適當?shù)妮斎?/ 輸出清理，并實施腳本沙盒。例如，在未首先驗證的情況下，切勿直接渲染和執(zhí)行人工智能生成的代碼。

通過持續(xù)的紅隊評估，對所有人工智能接口、API 和后端服務(wù)進行持續(xù)的安全滲透測試。此外，設(shè)立漏洞賞金計劃，鼓勵道德黑客在惡意行為者利用漏洞之前，負責任地披露漏洞。