DeepSeek應用場景中需要關注的十個安全問題和防范措施Deepseek研討系列2025年2月26日摘要本次講座為DeepSeek原理和應用系列研討的講座之一。隨著人工智能技術的快速發(fā)展，DeepSeek作為前沿的AI平臺，其安全性

和可靠性成為關注焦點。本講座探討了DeepSeek在實際應用中面臨的安全挑戰(zhàn)，為不同類型的用戶揭示使用DeepSeek的潛在風

險并提出防范策略。本講座的內容分為四個主要部分：首先，介紹了DeepSeek安全問題具有威脅難以預測、攻防非對稱的特點，以及存在數據隱私、、責任歸屬、倫

理道德等法律問題；并從內生安全和外延安全描述了安全方案框架，幫助大家對DeepSeek的安全建立整體認知。其次，幫助大家理解DeepSeek模型自身的5個安全問題，包括DDoS攻擊、無限推理攻擊、漏洞探測與利用、投毒問題和

越獄問題，還演示了漏洞探測與利用的過程，讓大家形象的理解DeepSeek被黑客利用的過程。再次，幫助企業(yè)用戶和技術愛好者說明了DeepSeek私有化部署的2個安全問題，包括DeepSeek本地化部署工具的風險、

針對DeepSeek本地化部署實施網絡攻擊的風險。并演示了從利用部署工具的漏洞到最終獲取模型服務器管理權的全過程，幫

助大家能安全的使用私有化部署。最后，為普通用戶介紹DeepSeek外延的3個安全問題，包括仿冒DeepSeek官方APP植入木馬、仿冒DeepSeek官方網站

和域名收集用戶信息、DeepSeek輔助實施攻擊。還演示了仿冒網站收集用戶信息、DeepSeek輔助滲透攻擊的方法。讓普通

用戶在使用DeepSeek的時候了解常見的防范措施。在技術學習的道路上，優(yōu)質學習資源至關重要。推薦大家參考《人工智能通識教程（微課版）》這本系統(tǒng)全面的入門教材，結

合B站“思睿觀通”欄目的配套視頻進行學習。此外，歡迎加入ai.kgc社區(qū)，以及“AI肖睿團隊”的視頻號和微信號，與志

同道合的AI愛好者交流經驗、分享心得。N

I8

9

8目

錄CONTENTS01

及目前的安全方案框架DeepSeek安全問題的特點DeepSeek私有化部署的03

2個安全問題DeepSeek模型的02

5個安全問題DeepSeek外延的04

3個安全問題8

8PART01N

i

V68

9

8

PEKING

UNIVERSITYDeepSeek安全問題的特點

及目前的安全方案框架DeepSeek快速出圈，硬控全中國2025年2月17日，中共中央在北京召開民營

企業(yè)座談會，DeepSeek創(chuàng)始人出席了會

議。這不僅是對DeepSeek的認可，也意味著國

家對民營企業(yè)AI創(chuàng)新、AI應用的鼓勵和高度重視。DeepSeek的快速發(fā)展與安全問題AI發(fā)展的獨到之處就在于并非由權威主導，而是由廣大民營創(chuàng)業(yè)者主導。另外，世界各地的開發(fā)者和研究機構通過開源平臺共享代碼和研究成果，這種全球協(xié)作加速了技術的傳播和創(chuàng)新。其發(fā)展速度具有以下顯著特點：創(chuàng)新與迭代速度快DeepSeek的版本從V2、V2.5、V3到R1等更新僅用了半年多用戶增長快上線18天，日活用戶數達到1500萬，而ChatGPT達到同樣的數字，花了244天。上線20天內，日活躍用戶突破2000萬，成為全球增速最快的AI應用。上線7天，斬獲1.1億全球用戶，登頂多個國家應用商店安全問題特點突出威脅難以預測攻防非對稱法律問題：如數據隱私、、責任歸屬、倫理道德等DeepSeek安全問題的特點安全問題特點1：威脅難以預測傳統(tǒng)技術工具與人工智能技術特性迥異。傳統(tǒng)技術工具即便復雜，其設計原理和運行邏輯也能被人掌握，行為可預測。傳統(tǒng)技術工具的邏輯相對固定

行為可預測、容DeepSeek安全問題的特點安全問題特點1：威脅難以預測現代人工智能技術主要是指大模型技術，是基于深度學習的人工神經網絡模型的數據智能，猶如

“黑箱”，使用者僅知其好用，卻不明原理，也無法排除錯誤和安全隱患。同時，大模型在推理階段還具有

系統(tǒng)

“涌現”

的可能，即極高的規(guī)模和復雜度下產生新的、不可預測的特性或行為模式。廣州某得到虛構信息

DeepSeek虛構某記者的文章DeepSeek靠忽悠贏了ChatGPTDeepSeek安全問題的特點安全問題特點1：威脅難以預測當人工智能廣泛應用于各行各業(yè)，當人工智能的“黑箱”

“涌現”出難以預測的、錯誤的和有安全隱患的信息和行為時，用戶通常只能被動接受。DeepSeek安全問題的特點安全問題特點2：攻防非對稱在人工智能安全領域，攻防的非對稱性十分顯著。

從攻擊端來看，成本低廉、手段豐富且施。比如對抗樣本攻擊，只需對原始數據做些人眼難察的微小擾動，就能讓人工智能系統(tǒng)輸出錯誤結果。一個本該觸發(fā)停車的

STOP標識，簡單處理

后，會被誤識別為

speed

limit

45DeepSeek遭受連環(huán)攻擊DeepSeek安全問題的特點安全問題特點2：攻防非對稱DDoS

攻擊2025

年

1

月

DeepSeek

官方網

站癱瘓長達

48

小時數據庫越權2025年1月28日超過一百萬行的日志流

被曝光，包含聊天記錄、

API

密鑰、后端詳細信

息等高度敏感信息防御端難度極大，不僅成本高昂，還需持續(xù)投入。防

御方得投入大量精力研發(fā)更安全的機器學習算法和模

型。同時，還得時刻關注攻擊者的新動向，及時調整

和完善防御策略，以此來應對復雜多變的攻擊威脅。XSS

漏洞攻擊2025

年

1

月

31

日

劫持會話、竊取信息，

發(fā)起網絡釣魚攻擊模型投毒DeepSeek

對大型公開數據集的

依賴，未來會進一步加大了注入對

抗樣本的風險，可能長期產生不良

后果，如操控模型行為和輸出等DeepSeek的法律問題法律問題AI的發(fā)展帶來了諸多法律挑戰(zhàn)，涉及數據隱私、

、犯罪治理等多個領域。隨著AI技術的廣

泛應用，相關法律問題將更加復雜，需要立法、司

法和企業(yè)共同努力，完善法律框架，規(guī)范AI技術的

應用。2025年3月1日起，騰訊元寶已對此協(xié)議內容進行了更新DeepSeek安全和法律問題全國兩會熱議AI安全2025年3月全國兩會，圍繞人工智能話題，多位人大代表和政協(xié)委員建言獻策：奇安信董事長齊向東：針對人工智能發(fā)展的安全問題，要從技術保障、制度保障、成果應用三方面入手，系統(tǒng)提升安全能力，確保人工智能安全發(fā)展。360創(chuàng)始人周鴻祎：傳統(tǒng)網絡安全的解題方法解決不了人工智能的安全問題。智能體的安全、知識數據的安全、客戶端的安全、基座模型的安全，構成AI安全的新領域。TCL董事長：對AI生成的內容進行強制標識，減少惡意濫用，并有助于厘清責任、對違法犯罪行為追責。小米董事長雷軍：明確“AI換臉擬聲”應用邊界紅線，完善侵權證據規(guī)則，加大對利用人工智能技術實施犯罪行為的刑事處罰力度DeepSeek安全方案框架安全問題的分類01

02外延安全問題：重點關注在社會、經內生安全問題：更聚焦于Deepseek濟、法律等外部環(huán)境中產生的影響和系統(tǒng)自身的核心要素，如數據、問題，包括發(fā)展安全、技術濫用（如算法、模型等，關注的是這些要素在網絡攻擊、深度偽造等）。更側重于系統(tǒng)運行過程中的安全保障，確保系Deepseek技術與外部世界交互過程統(tǒng)本身能夠穩(wěn)定、正確、安全地運行中引發(fā)的一系列安全問題和挑戰(zhàn)DeepSeek安全方案框架內生安全問題問題類別具體類型安全問題描述模型算法可解釋性差算法邏輯復雜，像“黑盒子”，輸出結果難以理解，出現問題時難以找到原因偏見、歧視算法設計或訓練數據有偏差，可能導致對某些群體不公平，比如性別、種族歧視魯棒性弱模型容擾或攻擊，比如環(huán)境變化或惡意輸入可能導致決策錯誤被竊取、篡改算法的核心信息可能被黑客攻擊、竊取或篡改，甚至被植入后門，導致安全問題輸出不可靠生成式AI可能產生看似合理但實際錯誤的內容，比如“幻覺”，容用戶對抗攻擊攻擊者通過設計特殊數據誤導模型，使其產生錯誤輸出或癱瘓數據安全違規(guī)收集使用數據用戶同意收集或不當使用數據，比如過度收集個人信息，侵犯隱私訓練數據含不當內容訓練數據中包含虛假、偏見或有害信息，甚至被攻擊者“投毒”，影響模型準確性訓練數據標注不規(guī)范數據標注錯誤或不準確，可能導致模型學習偏差，影響結果可靠性數據數據在處理過程中可能被，導致隱私或商業(yè)受損系統(tǒng)安全缺陷、后門被攻擊利用系統(tǒng)可能存在漏洞或后門，被攻擊者利用，導致安全風險算力安全算力資源可能被惡意消耗或攻擊，影響系統(tǒng)正常運行供應鏈安全依賴的芯片、軟件等可能被斷供或存在安全問題，影響人工智能系統(tǒng)的穩(wěn)定性DeepSeek安全方案框架外延安全問題問題類別具體類型安全問題描述網絡領域信息內容安全生成虛假信息、歧視偏見內容，可能誤導公眾，威脅國家安全、公民隱私等混淆事實、誤導用戶未標識的人工智能輸出可能讓用戶分不清真假，甚至繞過身份認證，導致安全漏洞不當使用引發(fā)信息工作人員不當使用人工智能，可能導致工作秘密、商業(yè)等敏感信息濫用于網絡攻擊人工智能被用于自動化的網絡攻擊，降低攻擊門檻，增加防護難度現實領域誘發(fā)經濟社會安全在金融、能源、交通等行業(yè)應用時，模型錯誤或外部攻擊可能導致系統(tǒng)中斷、失控用于違法犯罪活動人工智能可能被用于涉恐、涉暴、涉毒等違法犯罪活動，降低犯罪門檻兩用物項和技術濫用人工智能技術可能被用于制造危險物品或發(fā)動攻擊，對國家安全、經濟安全構成威脅認知領域加劇“信息繭房”效應定制化信息服務可能讓用戶只看到想看的信息，進一步加劇信息偏見和分化用于開展認知戰(zhàn)風險制作虛假信息、干擾輿論，甚至干涉他國內政，危害他國主權和安全倫理領域加劇社會歧視偏見對不同人群進行分類和區(qū)別對待，可能加劇社會不平等和歧視問題挑戰(zhàn)傳統(tǒng)社會秩序改變生產方式和社會結構，可能對傳統(tǒng)就業(yè)、社會觀念等帶來沖擊未來脫離控制隨著技術發(fā)展，人工智能可能超出人類控制，帶來不可預知的風險8

8PART02N

i

V68

9

8

PEKING

UNIVERSITYDeepSeek模型

5個安全問題DeepSeek模型5個安全問題?問題1：DeepSeek遭受DDoS攻擊

?問題2：DeepSeek遭受無限推理攻擊

?問題3：DeepSeek遭受漏洞探測與利用

?問題4：DeepSeek模型的投毒問題

?問題5：DeepSeek模型的越獄問題問題1：DeepSeek遭受DDoS攻擊Deepseek官網發(fā)文遭受攻擊2025年1

月

28

日，DeepSeek

官網服務狀態(tài)頁面發(fā)布信息稱，

由于近期

DeepSeek

線上服務

遭受了大規(guī)模惡意侵襲，為確

保服務能夠持續(xù)穩(wěn)定地提供，

目前暫時僅保留了

+

86

手機號

這一注冊方式，限制了其他注

冊途徑，而已成功注冊的用戶

仍可正常登錄問題1：DeepSeek遭受DDoS攻擊攻擊分為三個階段第一階段，1月3日、4日、6日、7

日、13日，出現疑似HTTP代理攻

擊。在該時間段大量連接

DeepSeek的代理請求，很可能是

HTTP代理攻擊第二階段，1月20日、22-26日，攻

擊方法轉為SSDP、NTP反射放大，

少量HTTP代理攻擊第三階段，1月27、28號，攻擊數

量激增，手段轉為應用層攻擊問題1：DeepSeek遭受DDoS攻擊DDos+暴力破解1月28日攻擊峰值出現在北京時間03:00-04:00（

UTC+8），對應北美東部時區(qū)14:00-15:00（UTC-5）

。該時間窗口選擇顯示攻擊存在跨境特征，且不排除針對海外服務可用性的定向打擊意圖本次DDoS攻擊還伴隨著大量的暴力破解攻擊。暴力

破解攻擊IP全部來自美國這些IP有一半是VPN出口，

推測也有可能是因為DeepSeek限制海外手機用戶導

致的情況問題1：DeepSeek遭受DDoS攻擊攻擊升級1月30日，兩個變種僵尸網絡加入攻擊，

指令激增100多倍。攻擊模式從最初的易

被清洗的放大攻擊，升級至1月28日的

HTTP代理攻擊，現階段已演變?yōu)橐越┦?/p>

網絡為主。攻擊者使用多種攻擊技術和手

段，持續(xù)攻擊DeepSeek2個Mirai變種僵尸網絡參與攻擊，分別為

HailBot和RapperBot。此次攻擊共涉及16

個C2服務器的118個C2端口，分為2個波

次，分別為凌晨1點和凌晨2點問題1：DeepSeek遭受DDoS攻擊HailBot僵尸網絡僵尸網絡是由攻擊者通過惡意軟件感染

并控制的設備網絡，這些設備被稱為“僵

尸”或“機器人”。攻擊者通過命令與控制

服務器向這些設備發(fā)送指令，執(zhí)行各種

任務HailBot平均每天攻擊指令上千條、攻擊

上百個目標。攻擊目標分布在中國、美

國、英國、中國香港、德國等地區(qū)，符

合典型的“職業(yè)打手”特征問題1：DeepSeek遭受DDoS攻擊RapperBot僵尸網絡RapperBot平均每天攻擊上百個目標，攻

擊目標分布在巴西、白俄羅斯、俄羅斯、

中國、瑞典等地區(qū)Hailbot和RapperBot兩個僵尸網絡常年活

躍，攻擊目標遍布全球，專門為他人提供

DDoS攻擊服務。向目標服務器持續(xù)增加攻

擊規(guī)模和強度，耗盡目標服務器的網絡帶

寬和系統(tǒng)資源，使其無法響應正常業(yè)務，

最終癱瘓或中斷問題2：DeepSeek遭受無限推理攻擊過度推理無限循環(huán)的風險在處理一些特殊查詢時，它們會陷入

過度推理甚至無休止的思考。利用這

種無休止的思考查詢，黑客可以以更

便宜的

DDoS

方式破解模型服務器，

因為單個查詢就會占用資源直到達到

最大

token

約束。這種災難性的漏洞——無休止的思考

查詢，也會破壞依賴于推理

LLM

的開

源開發(fā)生態(tài)系統(tǒng)。問題2：DeepSeek遭受無限推理攻擊過度推理重復序列通過對多個接入R1的第三方應用（測試

中均已關閉聯(lián)網）進行測試，雖然也未

能實現無限思考現象，但在部分應用中

的確看到了較長的思考過程。真正的攻擊，也確實不一定非要讓模型

陷入死循環(huán)，因此如果能夠拖慢模型的

思考過程，也是一種有效的大模型攻擊

手段。問題2：DeepSeek遭受無限推理攻擊過度推理造成的DDOS過度推理的攻擊查詢可以持續(xù)占用相對大量的計算

資源，而黑客只需要付出很小的網絡資源。我們運

行一個玩具實驗來比較過度推理查詢和正常查詢的

計算資源占用情況。舉例：在單個4090

GPU上部署DeepSeek-R1-

Distill-Qwen-7B，運行過度推理查詢和正常查詢，記

錄其GPU占用情況如右圖如圖所示，僅僅幾個過度推理的請求就會占用整個GPU資源，

黑客將此屬性作為DDoS攻擊服務器的策略將是一場噩夢問題3：DeepSeek遭受漏洞探測與利用AI

Generated

Content（人工智能生成內容）服務暴露探測外部暴露的

服務0102利用驗證識別異常和潛在的

開發(fā)服務并利

用驗證03DNS探測主動及被動的探測

子域名問題3：DeepSeek遭受漏洞探測與利用主動探測子域名在主動方式下，將收集包含數十

萬個域名的公共字典，并嘗試對

的目標（如

deepseek）進行

模糊測試和“猜測”更多有效的子域

名，例如

"admin.deepseek"

等等主動搜集探測子域名問題3：DeepSeek遭受漏洞探測與利用被動探測子域名在被動方式下，查詢互聯(lián)網上的

公共

DNS

數據集，并收集目標的

已知子域名階段目標?

收集有效的子域名列表，并將它

們保存到一個地方。有效子域名

指的是具有

IP

地址的

DNS

記錄，

或指向其他資產的記錄被動發(fā)現有效的子域名問題3：DeepSeek遭受漏洞探測與利用探測外部暴露的服務?

已經有了目標的子域名列表。接下來，

需要將范圍縮小到所有外部可訪問的

子域，并且這些子域主動暴露某種服

務，通常從

HTTP

探測開始，列出所

有公開暴露并在

80

和

443

端口上提

供

Web

服務的

DNS

名稱?

非所有的公開暴露都通過

HTTP

服務，

每家公司都有其獨特的開發(fā)方式，因

此，掃描所有開放端口（1-65,535）

并檢查它們是否暴露了其他服務是非

常重要的探測外部暴露的服務問題3：DeepSeek遭受漏洞探測與利用識別異常和潛在的開發(fā)服務到了一個屬于

DeepSeek

的公開

HTTP

服務器列表——其中大部分是完全合法的，比如他們的聊天機器人、

API

文檔或狀態(tài)監(jiān)控

Web

服務器某些端口通常不用于公開服務

HTTP

Web

服務器，而是更常見于開發(fā)過程

中，作為服務或測試環(huán)境的一部

分。這種情況下，公開這些端口可能

會帶來潛在的安全風險，因為它們往

往沒有經過充分的安全加固或審查識別異常和潛在的開發(fā)服務問題3：DeepSeek遭受漏洞探測與利用利用驗證檢查發(fā)現的服務器上是否存在任何立

即可見的

HTTP

和網絡配置錯誤配置

錯誤包括默認憑證、未授權訪問門戶、

CVE

漏洞等通過查看

ClickHouse的

API，能夠訪

問

HTTP

API，這樣能夠直接查詢

MySQL

數據庫。這個

API

的存在表明

沒有身份驗證或訪問控制，任何人都

可以輕松地與數據庫交互，獲取敏感

數據問題3：DeepSeek遭受漏洞探測與利用該漏洞暴露的數據非常嚴重，尤其是來自

log_stream表的日志，包含了超過

100

萬行的日

志，其中包括聊天歷史、DeepSeek

API

密鑰、基礎設施和操作信息等大量敏感數據。這

樣的暴露會導致重大的安全風險，因為這些信息可以被惡意用戶利用，進一步攻擊系統(tǒng)或

竊取數據嚴重的漏洞有時不需要很復雜，DeepSeek暴露了其的ClickHouse數據庫，沒有任何

身份驗證，了敏感信息。目前該漏洞已修復，不可被利用攻擊。問題4：DeepSeek模型的投毒問題問題4：DeepSeek模型的投毒問題嚴重后果遠超

AI

聊天機器人錯誤輸出波及依賴模型輸出的下游應用，如推薦系統(tǒng)、醫(yī)療診斷、自動駕駛等可能引發(fā)企業(yè)決策失敗、醫(yī)療誤診、交通事故等嚴重事故問題5：DeepSeek模型的越獄問題問題5：DeepSeek模型的越獄問題DeepSeek常見的其它安全漏洞DeepSeek常見的其它安全漏洞DeepSeek大模型漏洞防范措施1開發(fā)階段強化數據管理加強模型設計與驗證

嚴格代碼審查2部署階段安全配置服務器

采用加密傳輸3運行階段實時監(jiān)控與預警定期漏洞掃描與更新

應急響應與恢復AI大模型漏洞防范措施開發(fā)階段部署階段運行階段強化數據管理在數據收集環(huán)節(jié)，確保數據來源合法合規(guī)，避免使用來源不明或存在安全隱患的數

據。對收集到的數據進行嚴格清洗和預處理，去除錯誤、重復及可能包含敏感信息

的數據。在數據存儲時，采用加密技術對數據進行加密存儲，確保數據的性

加強模型設計與驗證采用安全的模型架構設計，避免使用已知存在安全風險的架構或算法。在模型訓練

過程中，進行充分的驗證和測試，包括對模型的準確性、穩(wěn)定性和安全性進行評估。

使用對抗訓練技術，通過生成對抗樣本，讓模型在訓練過程中學習識別和抵御攻擊

嚴格代碼審查對模型開發(fā)過程中的代碼進行嚴格的審查，遵循安全編碼規(guī)范，避免出現常見的

安全漏洞，如緩沖區(qū)溢出、SQL

注入等。采用自動化代碼審查工具，結合人工

審查，確保代碼的質量和安全性AI大模型漏洞防范措施開發(fā)階段部署階段安全配置服務器選擇安全可靠的服務器環(huán)境，對服務器的操作系統(tǒng)、網絡配置等進行安全加固。及

時更新服務器的補丁和安全更新，關閉不必要的服務和端口。采用防火墻、入侵檢

測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）等安全設備，對服務器進行實時監(jiān)控和防護

采用加密傳輸在模型部署和數據傳輸過程中，采用加密技術對數據進行加密傳輸，確保數據在傳

輸過程中的安全性。使用安全的通信協(xié)議，如

HTTPS，防止數據被竊取或篡改。同

時，對模型的訪問進行身份驗證和授權，只有經過授權的用戶才能訪問和使用模型

運行階段AI大模型漏洞防范措施開發(fā)階段實時監(jiān)控與預警建立實時監(jiān)控系統(tǒng)，對模型的運行狀態(tài)進行實時監(jiān)控，包括模型的性能、安全性和

穩(wěn)定性等指標。通過監(jiān)控數據，及時發(fā)現模型運行過程中出現的異常情況，如模型

輸出異常、數據等部署階段定期漏洞掃描與更新定期對模型進行漏洞掃描，使用專業(yè)的漏洞掃描工具，檢測模型是否存在已知的安

全漏洞。對于發(fā)現的漏洞，及時進行修復，確保模型的安全性。同時，建立漏洞管

理機制，對漏洞的發(fā)現、修復和驗證等過程進行跟蹤和管理運行階段應急響應與恢復制定完善的應急響應計劃，當模型遭受攻擊或出現安全事件時，能夠迅速采取有

效的應急措施，降低損失。建立備份和恢復機制，定期對模型和數據進行備份，

確保在出現安全事件時，能夠快速恢復模型和數據的正常運行8

8PART

03N

i

V68

9

8

PEKING

UNIVERSITYDeepSeek私有化部署

的2個安全問題DeepSeek私有化部署的2個安全問題?問題1：針對DeepSeek本地化部署實施網絡攻擊的風險?問題2：DeepSeek本地化部署工具的風險問題1：針對DeepSeek本地化部署實施網絡攻擊的風險問題1：針對DeepSeek本地化部署實施網絡攻擊的風險問題1：針對DeepSeek本地化部署實施網絡攻擊的風險攻擊示例：捆綁了HackBrian

RAT木馬的“ds大模型安全助手”的安裝包樣本名稱文件類型文件大小ds大模型安全助手、

deepseek_installEXE132.64

MB問題1：針對DeepSeek本地化部署實施網絡攻擊的風險問題2：DeepSeek本地化部署工具的風險2025年3月6日，工信部發(fā)布關于防范大模型本地部署工具超危漏洞的風險提示問題2：DeepSeek本地化部署工具的風險問題2：DeepSeek本地化部署工具的風險DeepSeek本地化部署方式?

由于

DeepSeek

爆火，官網的訪問量過大，

服務時常處于繁忙狀態(tài)，用戶們開始尋找替

代方案，紛紛選擇使用

Ollama+OpenWebUI、

LM

Studio

等工具進行本地快速部署通過這種方式，企業(yè)能夠將強大的

AI

能力引

入內網，提升辦公效率和數據處理能力，個

人用戶也可以在自己的PC中暢享DeepSeek

帶來的便利Ollama+OpenWebUI方式部署Deepseek問題2：DeepSeek本地化部署工具的風險部署工具的安全風險當

Ollama

啟動時，默認會開放

11434

端口。在該端口上，可通過

restful

api

公開執(zhí)行一

系列核心功能，其中包括模型的下載、上傳，

以及進行模型對話等操作。通常，在默認設置下，Ollama

僅在本地開放

此端口，為本地的使用提供便利。然而，在

Ollama

的

docker

環(huán)境中情況有所

不同，其默認會以

root

權限啟動，并且會將11434

端口開放至公網，與僅在本地開放的

常規(guī)情況形成了差異Ollama

Docker

鏡像問題2：DeepSeek本地化部署工具的風險Ollama對這些接口普遍沒有鑒權，導致攻擊者掃描到這些ollama的開放服務后可以進行瘋狂攻擊攻擊類型描述模型刪除直接刪除大模型模型竊取查看

ollama

模型，自建鏡像服務器，竊取私有模型中的文件算力竊取查看

ollama

模型，隨后通過請求對話竊取目標機器算力模型投毒下載有毒模型，將有毒模型遷移到用戶的正常大模型，污染使用者對話遠程命令執(zhí)行漏洞Ollama

遠程命令執(zhí)行漏洞【CVE-2024-37032】問題2：DeepSeek本地化部署工具的風險攻擊示例：Ollama接口鑒權風險Ollama

開放

HTTP

服務的多個

API

端點問題2：DeepSeek本地化部署工具的風險攻擊示例：掃描發(fā)現Ollama部署的很多大

模型服務器經過測試發(fā)現Ollama其默認服務端口11434

并無口令驗證或apikey驗證等安全訪問機制。查詢在

13931個搜索結果中，僅我國內就有6528

個大模型服務器處于活躍狀態(tài)問題2：DeepSeek本地化部署工具的風險攻擊示例：收集DeepSeek服務器信息任意訪問一個服務器即可看到Deepseek模型部署的具體情況問題2：DeepSeek本地化部署工具的風險攻擊示例：利用Ollama遠程命令執(zhí)行漏洞【CVE-2024-37032】是Ollama開源框架中一個嚴重的路徑遍歷漏洞，允代碼執(zhí)行（

RCE）。該漏洞影響Ollama

0.1.34之前的版本，通過自建鏡像偽造manifest文件，實現任意文

件讀寫和遠程代碼執(zhí)行。以下示例為讀取系統(tǒng)用戶信息。問題2：DeepSeek本地化部署工具的風險攻擊示例：利用OpenWebUI

文

件上傳漏洞?

用戶通過Open

WebUI的界面上

傳文件，文件會被存儲到靜態(tài)上

傳目錄。?

上傳文件名可偽造，未進行校驗，

允者通過構造包含路徑遍

歷字符如../../的文件名，將文件

上傳至任意目錄攻擊者準備

惡意文件路徑驗證機制寫入任意路徑HTTP請求

包構造文件

名../../通過HTTP

POST上傳

文件拼接文件路徑

UPLOAD_DIR

/filename寫入ssh

authorized_keys服務器接收

上傳請求遠程命令

執(zhí)行問題2：DeepSeek本地化部署工具的風險攻擊示例：利用OpenWebUI

【CVE-2024-6707】漏洞通過篡改清單文件并插入惡意

Digest，使得模型在被推送到遠程注冊表（

時觸發(fā)惡意行為，從而服務器上的敏感文件，服務器將字段中指定的文件的內容，僅需要一個文

件就就可以黑掉AI大模型問題2：DeepSeek本地化部署工具的風險攻擊示例：掃描暴露的大模型服務器模型服務器通過接口將模型功能對外提供

服務，以便其他應用程序或用戶能夠訪問

和使用該模型進行預測、推理等操作。使用網絡空間資產搜索引擎，利用特殊語

法搜索ollama應用程序，可暴露部署模型

的服務器地址。網絡空間資產搜索引擎從圖中可看到，2萬多個服務器中，我國的模型部署服務器占比達接近50%，超過1萬臺。問題2：DeepSeek本地化部署工具的風險問題2：DeepSeek本地化部署工具的風險問題2：DeepSeek本地化部署工具的風險攻擊示例：惡意添加系統(tǒng)提示詞通過添加特定提示詞，可誘導大模型

生成錯誤或混淆視聽的信息。例如：可惡意添加模型的系統(tǒng)提示詞。

可以讓當前模型回復用戶的問題必須

使用指定的語言設置系統(tǒng)提示詞問題2：DeepSeek本地化部署工具的風險攻擊示例：被入侵模型回復被入侵的模型應用了系統(tǒng)提示詞之后，回復用戶的都是怪字符。如果大模型經常生成惡意或錯誤的信息，用戶將對其失去信任，這會阻礙人工智能技術的推廣和應用，影響整個行業(yè)的發(fā)展。嚴重警告！以上操作根據具體行為和造成的后果，入侵并修改系統(tǒng)提示詞后，大模型

只會用怪字符回答問題會違反多種法律法規(guī)。提醒所有讀者切勿模仿！DeepSeek本地化部署風險防范模型系統(tǒng)與人員網絡安全防范安全防范安全防范模型驗證與簽名模型更新管理防止模型竊取系統(tǒng)安全加固人員安全管理網絡隔離防火墻設置入侵檢測與防御DeepSeek本地化部署風險防范模型安全防范系統(tǒng)與人員

安全防范模型驗證與簽名在模型部署前，對模型進行完整性驗證和數字簽名，確保模型未被篡改?？梢允褂?/p>

哈希算法計算模型的哈希值，并與官方發(fā)布的哈希值進行比對；數字簽名則可以保

證模型的來源可信

模型更新管理建立安全的模型更新機制，確保模型更新的安全性和可靠性。在更新模型前，對更

新包進行嚴格的安全檢測，驗證更新的合法性和完整性。同時，對模型更新過程進

行監(jiān)控，防止更新過程中出現安全問題

網絡安全防范防止模型竊取采取技術措施防止模型被竊取，例如對模型進行加密存儲，限制模型的訪問和導

出權限?？梢允褂糜布用茉O備（HSM）來保護模型的密鑰，增加模型竊取的

難度DeepSeek本地化部署風險防范模型安全防范系統(tǒng)與人員

安全防范系統(tǒng)安全加固對部署大模型的操作系統(tǒng)和相關軟件進行安全加固，及時安裝系統(tǒng)補丁和安全更新，

關閉不必要的服務和端口，降低系統(tǒng)被攻擊的風險。定期進行系統(tǒng)安全掃描，發(fā)現

并修復潛在的安全漏洞

人員安全管理加強對涉及大模型部署和管理的人員的安全培訓，提高其安全意識和操作技能。制

定嚴格的人員管理制度，規(guī)范人員的操作行為，防止人員因誤操作或惡意行為

導致安全事故。同時，對人員的訪問權限進行定期審查和更新，確保人員權限的合

理性

網絡安全防范DeepSeek本地化部署風險防范模型安全防范系統(tǒng)與人員

安全防范網絡隔離將部署大模型的本地服務器與外部網絡進行物理或邏輯隔離，例如使用專用網絡、

虛擬專用網絡（VPN），僅允的通信端口開放，并嚴格限制訪問來源。同時，

在網絡劃分不同安全區(qū)域，將大模型相關服務置于安全級別較高的區(qū)域

防火墻設置部署高性能防火墻，對進出網絡的流量進行嚴格過濾。根據大模型服務的實際需求，

制定精細的訪問控制策略，阻止的網絡訪問和異常流量。定期更新防火墻

規(guī)則，以應對新出現的網絡威脅

網絡安全防范入侵檢測與防御安裝入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），實時監(jiān)測網絡流量，及時

發(fā)現并阻止惡意攻擊行為。通過配置合理的檢測規(guī)則，對常見的攻擊手段，如

DDoS

攻擊、SQL

注入、端口掃描等進行有效識別和攔截8

8PART04N

i

V68

9

8

PEKING

UNIVERSITYDeepSeek外延的

3個安全問題DeepSeek外延的3個安全問題?問題1：仿冒DeepSeek官方APP植入手機木馬?問題2：仿冒DeepSeek官方網站和域名收集用戶信息?問題3：利用DeepSeek實現自動滲透攻擊問題1：仿冒DeepSeek官方APP植入手機木馬仿冒DeepSeek手機木馬病毒

國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機

病毒協(xié)同分析平臺（）在我國境內捕獲發(fā)現針對我國用戶的仿冒國

產人工智能大模型“DeepSeek”官方APP的安卓平臺手機木馬病毒問題1：仿冒DeepSeek官方APP植入手機木馬DeepSeek木馬病毒樣本信息文件名稱DeepSeek

apk應用名稱DeepSeek包名.hello.world圖標Hash(MD5)elffO86b629ce744a7c8dbe6f3db0f68開發(fā)者簽名=AndroidDebug.OU=Android,O=Unknown,L=Unknown,ST=Unknown,C=US證書Hash(MD5)20f46148b72d8e5e5ca23d37a4f41490文件體積12.80MB版本1.0問題1：仿冒DeepSeek官方APP植入手機木馬2025年1月以來，DeepSeek爆火，其官方APP程序在全球多個國家和地區(qū)的手某省市場登頂網絡犯罪份子立即加以利用，捆綁了木馬的APP與DeepSeek官方APP“長相一致”問題1：仿冒DeepSeek官方APP植入手機木馬誘導用戶安裝APP，奪取手機控制權用戶一旦點擊運行仿冒APP，該APP會提示用

戶“需要應用程序更新”，并誘導用戶點擊“更新”

按鈕。用戶點擊后，會提示安裝所謂的“新版

”DeepSeek應用程序，實際上是包含惡意代碼

的子安裝包，并會誘導用戶授予其后臺運行和

使用無障礙服務的權限該病毒App還包含攔截用戶短信、竊取通訊錄、

竊取手機應用程序列表等侵犯公民個人隱私信

息的惡意功能和阻止用戶卸載的惡意行為問題2：仿冒DeepSeek官方網站和域名收集用戶信息問題2：仿冒DeepSeek官方網站和域名收集用戶信息仿冒DeepSeek域名據統(tǒng)計，自2024年12月1日至2025年2月3日，共

監(jiān)測到2650個仿冒DeepSeek的網站全球化趨勢。在這些仿冒DeepSeek的域名中，

有60%的解析IP位于美國，其余則主要分布在新

加坡、德國、立陶宛、俄羅斯和中國等地。這一

全球化特點意味著用戶可能面臨來自世界各地的

不同類型網絡攻擊，使得潛在的安全威脅更加復

雜多變“DeepSeek”域名仿冒分布情況問題2：仿冒DeepSeek官方網站和域名收集用戶信息仿冒DeepSeek域名仿冒域名的形式多種多樣，常見的有

“deepsek”“deepscek”“deeepseeek”

等

。這些域名與官方的

“deepseek”

和

“deepseek”

極為相似，容

導用戶，從域名注冊機構查詢，各種

形式的仿冒域名均已被注冊用戶自己訪問網站時一定要仔細核對

域名，從官方渠道或正規(guī)應用商店下

載

App；安裝殺毒軟件和安全插件；

不點擊不明鏈接問題2：仿冒DeepSeek官方網站和域名收集用戶信息攻擊示例：網站仿冒使用黑客攻擊即可輕與目標網站外

觀、布局等高度相似的虛假網站將仿冒網站上線后，即可誘騙用戶輸入賬

號密碼等敏感信息，進而實施惡意行為問題2：仿冒DeepSeek官方網站和域名收集用戶信息攻擊示例：仿冒DeepSeek登錄界面仿冒的網站頁面與DeepSeek登錄頁面

外觀完全一致右側為仿冒的DeepSeek登錄頁面問題2：仿冒DeepSeek官方網站和域名收集用戶信息攻擊示例：模擬用戶登錄仿冒站點模擬用戶使用自己的用戶名和密碼去

登錄仿冒的DeepSeek網站仿冒網站通常是黑客搭建的，目的是

騙取用戶的個人信息，如賬號、密碼、

身份證號、銀行卡信息等。一旦用戶

在仿冒網站上輸入這些信息，就會被

不法分子獲取，可能導致個人隱私泄

露，甚至賬戶資金被盜取問題2：仿冒DeepSeek官方網站和域名收集用戶信息攻擊示例：黑客收集用戶登錄信息仿冒網站收集用戶登錄的用戶名和密

碼是一種極其惡劣的網絡犯罪行為一旦用戶輸入，這些數據就會被立即

傳送給黑客后臺。他們隨后即可利用

這些用戶名和密碼去登錄用戶的真實

賬戶，獲取用戶數據問題2：仿冒DeepSeek官方網站和域名收集用戶信息攻擊示例：收集用戶其他信息通過收集用戶主機的操作系統(tǒng)版本、

軟件等信息，黑客可了解目標系統(tǒng)可

能存在的漏洞，針對性地編寫攻擊代

碼或利用已知漏洞進行入侵收集瀏覽器信息如版本、插件列表等，

能幫助黑客發(fā)現可利用的瀏覽器漏洞，

或針對特定瀏覽器定制釣魚頁面，提

高攻擊成功率問題3：利用DeepSeek實現自動滲透攻擊?

使用DeepSeek實現自動滲透攻擊與傳統(tǒng)手工滲透攻擊存在顯著差異，主要體現在以下幾個方面：對比維度傳統(tǒng)手工滲透攻擊DeepSeek輔助自動滲透攻擊效率與速度依賴人工，耗時長，效率低自動化處理，效率高，速度快覆蓋范圍覆蓋有限，難以覆蓋復雜攻擊面全面覆蓋復雜攻擊面，適應多種架構誤報率誤報率高（20%-40%）誤報率低（低于3%）攻擊鏈生成手工分析，耗時長（數小時至數天）自動生成，速度快（數秒至分鐘）成本與可擴展性依賴高技能工程師，人力成本高，難以快速擴展部署成本低，適合中小企業(yè)，可快速擴展攻擊能力依賴經驗與規(guī)則庫，難以發(fā)現未知漏洞強推理能力，可快速發(fā)現并驗證零日漏洞防御對抗手動調整攻擊策略，靈活性有限動態(tài)防御機制，快速適應攻擊變種安全風險攻擊過程相對透明，現攻擊隱蔽性強，可能利用模型推理漏洞繞過防御問題3：利用DeepSeek實現自動滲透攻擊?

使用DeepSeek可輔助滲透攻擊的各個階段滲透階段AI輔助點作用信息收集階段收集信息DeepSeek可以快速從大量的網絡資源、文檔、論壇等渠道中提取與目標相關的信息，如目標系統(tǒng)的技術架構、應用類型、可能存在的漏洞類

型等，幫助測試人員全面了解目標情報分析對收集到的各種情報進行關聯(lián)分析，挖掘出潛在的攻擊面和薄弱環(huán)節(jié)，例如通過分析目標公司的業(yè)務流程和技術選型，推測可能存在的安全風

險點漏洞探測階段漏洞識別基于對大量漏洞數據和相關知識的學習，DeepSeek能夠根據目標系統(tǒng)的特征和輸入輸出信息，快速識別出可能存在的常見漏洞，如

SQL

注入、

跨站腳本攻擊（XSS）等，提高漏洞發(fā)現的效率代碼生成對于一些已知類型的漏洞，DeepSeek可以生成相應的漏洞利用代碼框架或思路，為測試人員提供參考，減少手工編寫代碼的時間和工作量漏洞利用階段風險評估DeepSeek可以綜合考慮漏洞的嚴重程度、影響范圍、利用難度等因素，對發(fā)現的漏洞進行風險評估，幫助測試人員確定修復的優(yōu)先級驗證測試DeepSeek可以生成一些測試用例和驗證方法，幫助測試人員對漏洞進行進一步的驗證和確認，確保漏洞的真實性和可利用性報告生成階段內容生成DeepSeek能夠根據測試結果，快速生成規(guī)范、詳細的滲透測試報告，包括漏洞描述、影響分析、修復建議等內容，提高報告的效率和質量語言處理對報告內容進行語言潤色和優(yōu)化，使報告更解和閱讀，便于向非技術人員或管理層進行匯報問題3：利用DeepSeek實現自動滲透攻擊問題3：利用DeepSeek實現自動滲透攻擊問題3：利用DeepSeek實現