摘要：美东时间3月10日，马斯克旗下的社交媒体X平台遭遇了大规模网络攻击。奇安信Xlab实验室发现，本次攻击者和春节期间攻击DeepSeek的为同一主力僵尸网络，属于名副其实的“职业打手”，其攻击规模之大、烈度之强，直接导致X平台三次瘫痪。

DeepSeek爆火的同时，也成为被恶意攻击的对象。1月下旬，DeepSeek官网连续发布公告称，其线上服务受到大规模恶意攻击。

美东时间3月10日，马斯克旗下的社交媒体X平台遭遇了大规模网络攻击。奇安信Xlab实验室发现，本次攻击者和春节期间攻击DeepSeek的为同一主力僵尸网络，属于名副其实的“职业打手”，其攻击规模之大、烈度之强，直接导致X平台三次瘫痪。

今年全国两会期间，全国政协委员、奇安信董事长齐向东敲响“警钟”：越来越多的企业、个人私有化部署DeepSeek大模型，但将近90%的服务器都没有采取安全措施，极有可能造成数据泄露和服务中断，服务运行和数据安全岌岌可危，存在严重的安全隐患。

在未来的数字生态中，AI大模型的基础设施地位将愈发凸显。但与此同时，数据隐私泄露、认知安全隐患、基础设施遭受威胁等一系列安全风险如影随形，其严重程度可能超乎想象。如何在推动技术创新的同时有效管控安全风险，成为一项至关重要且亟待解决的课题。

九成AI一体机在“裸奔”

2025年1月，美国云安全公司Wiz Research评估DeepSeek的外部安全态势时，发现了一个可公开访问的ClickHouse数据库，且未经身份验证，其中包含超过100万行的日志流以及大量聊天记录、后端数据和敏感信息，如API密钥等，并允许完全控制数据库操作。

“这是员工误操作引发的数据泄露，也是通用安全风险，好比出门忘关保险柜。我们既要防范传统的‘明枪’，也要警惕AI时代的‘暗箭’。”天翼安全科技有限公司（以下简称“电信安全”）解决方案专家李磬说道。

据《IT时报》记者了解，电信安全经过长时间监测也发现，九成AI一体机处于“裸奔”状态，本地化部署大模型的安全隐患极大，只要对外提供服务，互联网暴露风险就高达九成。在李磬看来，大模型本身没有安全护栏，靠的是大模型的对齐能力，本地部署的安全问题不只针对DeepSeek，90%以上的大模型都存在。

“虽然没有统计过数据，但确实有很多服务器在‘裸奔’。”在DARKNAVY深蓝科技研究员肖轩淦看来，主要是因为私有化部署服务器的门槛降低了很多，包括技术门槛和经济门槛，“本来部署服务器可能需要专家花几个星期时间才能完成，现在一两个人几天内就能完成。”

技术部署的便捷性与安全意识的滞后性之间存在矛盾，此外，大模型的快速普及促使企业和个人追求快速落地，往往将安全视为“可选项”而非“必选项”。

更深层次的问题是，行业对新兴技术风险认知的不足。领悟时代数字研究院首席研究员唐树源告诉《IT时报》记者，大模型作为基础设施的地位尚未被充分重视，许多用户错误地认为“本地化部署即安全”，却忽视了网络暴露面管理、API接口防护等基础安全环节。

现行网络安全法规对大模型这类新兴技术的针对性不足，缺乏强制性的合规要求，导致企业安全建设投入比例低。此外，部分企业将安全责任完全外包给第三方或依赖开源社区，缺乏主动防御能力。

数据泄露、服务中断 近在咫尺

任何人不需要任何认证即可随意调用、在未经授权的情况下访问这些服务，极有可能造成数据泄露和服务中断，甚至可以发送指令删除所部署的DeepSeek、Qwen等大模型文件……这是齐向东对于“裸奔”状态下服务器可能产生的安全风险的预判。

除了内部泄密、DDoS攻击外，传统的安全风险还有多手段的数据窃取。李磬总结了AI模型特有的三点风险：一是“学坏风险”，比如被指令教唆生成虚假信息，生成虚假信息引发舆情，教唆数字人播报错误新闻等；二是“泄密风险”，可能无意间透露训练时“记住”的隐私数据；三是“失控风险”，比如越狱攻击，诱导模型输出违法内容，如同教唆机器人犯罪。

锘崴科技相关人士告诉《IT时报》记者，数据安全隐患、系统安全隐患、模型安全隐患、业务可用性风险等都是可能面临的风险。“以信息泄露与数据滥用为例，大模型的训练和推理涉及海量企业数据与用户隐私，如果防护措施不足，攻击者可以利用模型逆向推理技术，从模型推理结果中恢复训练数据，造成数据泄露。如果企业未使用端到端加密（E2EE），数据在存储和传输过程中可能被窃取。开放的API接口易被黑客利用，导致敏感数据泄露或滥用。”上述相关人士说，大模型通常运行在高性能服务器或云计算平台上，如果系统安全加固不足，黑客可通过端口扫描或暴力破解攻击服务器。攻击者可在服务器上植入木马或勒索软件，窃取数据或劫持计算资源进行挖矿等。

相较于大模型拿用户数据进行训练可能产生的信息泄露，在肖轩淦看来，服务器一旦被攻击带来的风险更大。作为大模型服务提供商，服务器上存储了很多客户信息和商业机密，一旦泄露，客户也会受到牵连，服务提供商也可能面临停止运营的窘境。

对于黑客来说，攻击一个“裸奔”的服务器，要付出多大的代价？

用肖轩淦的话说，就是“易如反掌”。“一个黑客两三天甚至更短时间，就能攻破一个‘裸奔’的服务器，而像iPhone，顶级的安全团队要用一年多时间才能攻破。”他表示。

AI安全问题或将集中爆发

自从DeepSeek出圈后，政务、教育、医疗等行业的企业在短时间内密集接入DeepSeek。“大规模接入DeepSeek只有一个月，预计大模型用到生产环节，大量企业将私有数据上传至模型后，大模型的安全问题就会集中暴露。”李磬预计，今年内政务、医疗等行业用户可能会有大规模的模型安全需求。

伴随大模型出现的是越来越多的智能体，肖轩淦告诉《IT时报》记者，大模型安全是智能体的核心，智能体的能力越高，有可能面临的风险越大，“比如智能体在浏览网页，被黑客嵌入了字符之后，它就停止浏览网页，而是按照指令窃取电脑中的敏感信息，并且发送到指定邮箱。”

锘崴科技相关人士表示，企业应重点关注数据安全和模型安全，并采取多层次的防护措施。“大模型的训练和推理依赖于大量数据，根据数据的敏感程度，对数据进行分类和分级管理，明确不同级别数据的访问权限和保护措施。采用严格的访问控制策略，确保只有经过授权的人员和系统才能访问敏感数据。”上述相关人士表示，而大模型不仅面临数据安全风险，还可能受到对抗性攻击、模型滥用和知识产权盗窃的威胁。在模型训练过程中，可以引入对抗性样本，使模型学习应对对抗性攻击，提高模型的鲁棒性；定期对模型进行安全评估和测试，发现潜在的漏洞和风险，及时修复；限制对模型的访问权限，防止未经授权的人员或系统调用模型，避免模型被滥用；在模型中嵌入水印，以保护模型的知识产权，防止模型被非法复制和使用等。

在构建大模型安全防护体系中，隐私计算技术发挥着至关重要的作用。比如利用加密计算，确保数据在计算过程中仍然保持加密，即使在云端或第三方环境中运行，也不会暴露原始数据；在TEE环境中执行模型计算，防止模型参数被窃取或篡改，保障模型知识产权；结合数据要素库的可信安全手段，保护敏感的训练数据或微调数据，保障使用过程安全。

打造“用得起、用得好”的安全服务

如何最大程度规避风险，构建大模型安全防护体系，不少安全公司开始行动起来。

电信安全设计了“三位一体”的防护方案：首先是网络侧，电信安全在互联网入口部署“防洪堤+安检门”，用抗DDoS+云WAF组合，如果遭遇像DeepSeek与X平台这种大规模DDoS攻击时，可以调用、部署流量清洗系统和API网关，监控识别异常流量并过滤；其次是主机侧，在服务器和工作站部署“智能保镖”，实时监控异常进程。持续监测比如境外开源工具Ollama其默认API服务11434端口，可以在未授权情况下被调用，攻击者可远程访问该接口，调用私域大模型计算资源，窃取知识库、投喂虚假甚至有害信息等，同时对开源的工具如anythingllm、VLLM等工具进行持续的跟踪监控；最后是模型侧，给DeepSeek加装“安全刹车”，也就是大模型护栏，拦截越狱指令和有害输出。

“仅电信体系内部就有基础模型和各类行业模型就超过100个。”李磬告诉《IT时报》记者，电信安全针对中小微企业推出的安全猫和零信任产品，月租只要几十元。如果企业不想投入大量资金购买硬件设备，就可以通过云计算获取安全能力。“只要把网址给我们，可以小时级甚至分钟级部署安全服务，在模型高峰期间可临时开启多项安全服务组合，结束后降档，按需使用安全服务。”李磬说。

中国电信庞大的运维大军正在转型为“云网数智安”全能的智能云服务交付工程师，这支遍布各个地市的一线团队，可以在短时间内提供上门服务，无论是设备部署、系统调试还是问题排查，特别是在本地模型遭受攻击这种十万火急的时候。

安全+AI，AI+安全，这两种方式是当下安全融合AI的普遍模式。电信安全两种模式都在探索，从而在第一时间针对DeepSeek本地部署设计安全方案，也能通过智能体的方式快速集成到DeepSeek本地防护方案中。

只有让中小企业，甚至个人都用得起、用得好安全服务，才能让更多人在AI赛道轻装上阵，普遍享受AI时代的红利。

排版／ 季嘉颖

图片／ 电信安全 pixabay 通义万相

来源：新浪财经