近90%Ollama大模型服務(wù)器裸奔、DeepSeek頻繁被攻擊，模型網(wǎng)絡(luò)安全何解？丨ToB產(chǎn)業(yè)觀察

來源：互聯(lián)網(wǎng)   發(fā)布日期：2025-02-18 22:06:21   瀏覽：262次  

樹大招風(fēng)，DeepSeek的脫穎而出為其帶來了更多關(guān)注，更多資本注入的同時(shí)，也讓DeepSeek遭受到了更多的攻擊。不過，這并不是第一個(gè)遭受到大規(guī)模網(wǎng)絡(luò)攻擊的大模型公司，此前諸如Kimi、OpenAI這樣家喻戶曉的模型公司也都受到了不同程度的網(wǎng)絡(luò)攻擊。

大模型被攻擊是普遍現(xiàn)象

DeepSeek遭受到嚴(yán)重的網(wǎng)絡(luò)攻擊并不是大模型行業(yè)的個(gè)例，回來過去幾年大模型行業(yè)的發(fā)展，還有很多大模型成為了黑灰產(chǎn)業(yè)的攻擊對象。

2023年11月，ChatGPT遭黑客組織DDoS攻擊，多次發(fā)生嚴(yán)重的業(yè)務(wù)中斷，甚至大面積癱瘓；2024年9月20日，秘塔AI搜索引擎受到Mirai變種攻擊；2025年1月7日、11日、23日、24日，kimi.ai的也被DDoS攻擊......

回顧此次攻擊，在不到一個(gè)月的時(shí)間內(nèi)，DeepSeek就接連遭遇了大規(guī)模DDoS攻擊、僵尸網(wǎng)絡(luò)、仿冒網(wǎng)站泛濫、數(shù)據(jù)庫安全隱患等各種安全威脅，甚至一度對正常服務(wù)造成嚴(yán)重影響，根據(jù)公開資料顯示，DeepSeek主要面臨的是DDoS攻擊，先后經(jīng)歷了輕微的HTTP代理攻擊、大量HTTP代理攻擊、僵尸網(wǎng)絡(luò)攻擊等行為，參與攻擊的兩個(gè)僵尸網(wǎng)絡(luò)分別為HailBot和RapperBot。

在奇安信安全專家看來，種種跡象也折射出了整個(gè)AI行業(yè)當(dāng)下面臨著的嚴(yán)峻的安全挑戰(zhàn)，“AI行業(yè)面臨的網(wǎng)絡(luò)攻擊，可能將呈現(xiàn)出持續(xù)時(shí)間長、攻擊方式不斷進(jìn)化、攻擊烈度不斷升級、影響危害持續(xù)擴(kuò)大等特征�！痹撁麑＜抑赋觥�

而另一方面，雖然大模型遭到頻繁的網(wǎng)絡(luò)攻擊是普遍現(xiàn)象，但是從多起攻擊事件中，也不難總結(jié)出一些特性。

首先，無論是ChatGPT、Kimi，還是此次受攻擊的DeepSeek，其都有一個(gè)共性均為具有初創(chuàng)性質(zhì)的科技公司打造。與之相比，諸如Bing、通義千問、文心一言等傳統(tǒng)老牌互聯(lián)網(wǎng)巨頭打造的大模型則大多不會太受攻擊的影響。

在盛邦安全安全服務(wù)產(chǎn)品線總經(jīng)理&研發(fā)總監(jiān)郝龍看來，與傳統(tǒng)的互聯(lián)網(wǎng)巨頭相比，初創(chuàng)型的科技企業(yè)的安全體系建設(shè)能力，遠(yuǎn)不如已經(jīng)在互聯(lián)網(wǎng)摸爬滾打多年的巨頭，且安全屬于企業(yè)成本支出類，對于資金、資源有限的初創(chuàng)企業(yè)，更愿意將更多的資源用在模型技術(shù)的研發(fā)和迭代上，這也就造成了，雖然模型能力很強(qiáng)，但是防護(hù)能力不足，極容易成為攻擊目標(biāo)。

無獨(dú)有偶，奇安信安全專家也對鈦媒體APP表示，在防御機(jī)制建設(shè)層面，大模型需要通過嚴(yán)密的安全技術(shù)保障和運(yùn)行監(jiān)測，確保自身的安全性、可靠性和穩(wěn)定性。而目前絕大多數(shù)大模型的安全建設(shè)是非常欠缺的。

攻擊的背后，大模型的安全架構(gòu)仍待完善

在與多位安全行業(yè)專家的溝通中，幾乎所有專家都向鈦媒體APP表達(dá)了對于當(dāng)下大模型安全體系建設(shè)的擔(dān)憂。

天融信安全專家告訴鈦媒體APP，大模型系統(tǒng)在運(yùn)營中面臨多重安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)源自技術(shù)缺陷、不當(dāng)使用及惡意利用。處理敏感數(shù)據(jù)時(shí)，易受攻擊導(dǎo)致數(shù)據(jù)竊取、服務(wù)中斷及用戶流失。模型本身若存缺陷或后門，則成為攻擊目標(biāo)，如投毒攻擊可操控模型輸出，干擾業(yè)務(wù)。此外，大模型生成內(nèi)容可能引發(fā)虛假信息、歧視、隱私泄露等問題，威脅公民安全、國家安全及倫理安全。因此，需從體系化角度，針對算法、數(shù)據(jù)、系統(tǒng)及信息內(nèi)容制定防范措施。

從模型自身風(fēng)險(xiǎn)的角度出發(fā)，由于模型本身需要對外提供公開服務(wù)，并涉及敏感信息的開放場景，因此會引發(fā)多種安全隱患，包括：提示注入攻擊、拒絕服務(wù)攻擊、提示詞泄露、通用越獄漏洞等，“這些攻擊都會對大模型的安全性和穩(wěn)定性帶來重大影響。”奇安信安全專家指出。

從模型防護(hù)機(jī)制建設(shè)角度出發(fā)，大模型需要通過嚴(yán)密的安全技術(shù)保障和運(yùn)行監(jiān)測，確保自身的安全性、可靠性和穩(wěn)定性。而目前絕大多數(shù)大模型的安全建設(shè)是非常欠缺的，以此次遭受大量攻擊的DeepSeek為例，網(wǎng)宿科技安全事業(yè)部高級技術(shù)總監(jiān)胡鋼偉告訴鈦媒體APP，此次DeepSeek遭受大規(guī)模攻擊，究其原因，一方面是由于DeepSeek自身的防御機(jī)制建設(shè)不足，未能儲備足夠的防護(hù)資源以面對高強(qiáng)度的DDoS攻擊行為，另一方面也和DeepSeek在開發(fā)過程中未能完善安全測試機(jī)制有關(guān)，造成了漏洞被攻擊者利用。

除此之外，攻擊者除了直接的攻擊以外，還會利用對抗性攻擊和數(shù)據(jù)投毒來破壞大模型的安全性。例如，2023年，某教育巨頭AI大模型遭遇訓(xùn)練數(shù)據(jù)污染，出現(xiàn)了“毒教材”內(nèi)容，最終導(dǎo)致該公司市值蒸發(fā)達(dá)120億元�！霸跀�(shù)據(jù)投毒方面，只需花費(fèi)少量成本就能污染大型開源數(shù)據(jù)集，進(jìn)而影響基于這些數(shù)據(jù)訓(xùn)練的大模型的行為�！逼姘残虐踩珜＜胰缡钦f。

另一方面，在模型防御機(jī)制建設(shè)層面，與傳統(tǒng)互聯(lián)網(wǎng)廠商相比，初創(chuàng)的大模型企業(yè)在安全開發(fā)管理、數(shù)據(jù)保護(hù)體系、安全對抗能力等方面存在明顯“短板”，網(wǎng)絡(luò)安全防護(hù)技術(shù)滯后，傳統(tǒng)防護(hù)系統(tǒng)難以應(yīng)對復(fù)雜攻擊。針對模型防御機(jī)制建設(shè)，奇安信安全專家提出了建議，在大模型安全服務(wù)方面，需要加強(qiáng)合規(guī)咨詢服務(wù)，安全測試與評估服務(wù)，安全培訓(xùn)服務(wù)，應(yīng)急響應(yīng)服務(wù)，持續(xù)監(jiān)測服務(wù)等。

在產(chǎn)品方面，除了傳統(tǒng)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全解決方案之外，會出現(xiàn)針對大模型輸入輸出的內(nèi)容過濾產(chǎn)品，模型保護(hù)安全產(chǎn)品，大模型倫理審核產(chǎn)品等。

安全“短板”決定了模型的上限

Gartner預(yù)測，到2025年，生成式AI的采用將導(dǎo)致企業(yè)機(jī)構(gòu)所需的網(wǎng)絡(luò)安全資源激增，使應(yīng)用和數(shù)據(jù)安全支出增加15%以上。

在企業(yè)數(shù)據(jù)價(jià)值不斷深挖，以及企業(yè)業(yè)務(wù)逐漸離不開網(wǎng)絡(luò)的雙重加持下，以網(wǎng)絡(luò)安全、數(shù)據(jù)安全為代表的“虛擬”資產(chǎn)安全已經(jīng)成為在選擇使用一項(xiàng)數(shù)字技術(shù)過程中，必要的考慮因素。

除了模型自身的魯棒性、可解釋性、幻覺等問題會造成的安全問題以外，訓(xùn)練模型的系統(tǒng)平臺也存在安全風(fēng)險(xiǎn)隱患。在系統(tǒng)平臺部分，可能遭受非授權(quán)訪問和非授權(quán)使用等一般風(fēng)險(xiǎn)，除此之外，還可能存在機(jī)器學(xué)習(xí)框架安全隱患、開發(fā)工具鏈安全風(fēng)險(xiǎn)、系統(tǒng)邏輯缺陷風(fēng)險(xiǎn)，以及插件相關(guān)安全風(fēng)險(xiǎn)等重點(diǎn)風(fēng)險(xiǎn)。

同時(shí)，在業(yè)務(wù)應(yīng)用層面，大模型也存在相關(guān)風(fēng)險(xiǎn)，可能存在測試驗(yàn)證數(shù)據(jù)更新不及時(shí)的一般風(fēng)險(xiǎn)，以及以生成違法不良信息、數(shù)據(jù)泄露、用戶惡意使用等為代表的重點(diǎn)風(fēng)險(xiǎn)。

值得一提的是，隨著人工智能技術(shù)的發(fā)展，AI攻擊的形式變得越來越多樣化和復(fù)雜化。除了傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，攻擊者還利用了AI獨(dú)特的能力來增強(qiáng)攻擊的效果，加強(qiáng)了攻擊的隱蔽性。面對多樣化的AI攻擊形式，防御策略也需要相應(yīng)升級，利用AI驅(qū)動的防御手段，用AI的“魔法”打敗攻擊者。

針對此，多名安全行業(yè)專家都建議國內(nèi)高科技企業(yè)建立對抗性安全運(yùn)營體系，將產(chǎn)品、人員、手段和流程融合成聯(lián)動整體，從事件驅(qū)動、情報(bào)驅(qū)動、對抗驅(qū)動、狩獵驅(qū)動四個(gè)方面綜合考量，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全監(jiān)測與防護(hù)技術(shù)，進(jìn)行攻擊面識別、網(wǎng)絡(luò)入侵和威脅檢測以及安全防護(hù)策略升級，還可通過紅藍(lán)對抗來檢驗(yàn)自身安全防護(hù)水平，并且利用AI大模型應(yīng)對新型攻擊。

大模型本身也是一個(gè)應(yīng)用，也需要對外提供服務(wù)，因此傳統(tǒng)的安全防護(hù)不能少。比如使用防火墻、入侵檢測、抗DDoS的硬件安全設(shè)備，或者采用云抗D、云WAF等云服務(wù)，保障大模型應(yīng)用在網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用層面的安全。

針對AI大模型特有的安全風(fēng)險(xiǎn)，如prompt注入攻擊、信息內(nèi)容安全風(fēng)險(xiǎn)、數(shù)據(jù)隱私泄漏以及倫理與法律風(fēng)險(xiǎn)，需要升級安全防護(hù)手段，對prompt內(nèi)容進(jìn)行輸入過濾與驗(yàn)證，利用對抗訓(xùn)練技術(shù)抵抗prompt攻擊；升級數(shù)據(jù)治理，把控?cái)?shù)據(jù)質(zhì)量，避免不良信息生成；實(shí)時(shí)監(jiān)測與審查模型輸出內(nèi)容，及時(shí)攔截與糾正有害信息。

雖然安全措施可能增加計(jì)算成本（如密態(tài)推理的延遲），但通過技術(shù)創(chuàng)新（如GPU可信執(zhí)行環(huán)境）可實(shí)現(xiàn)安全與效率的平衡，在郝龍看來，安全問題對于大模型企業(yè)而言，雖然是成本問題，但是安全也組成大模型“水桶”的關(guān)鍵一塊木板，決定著大模型的上限在哪里。

從國內(nèi)大模型行業(yè)的發(fā)展就不難看出，無論是Kimi，還是DeepSeek，絕大多數(shù)被爆出遭到大量攻擊的大模型產(chǎn)品都是初創(chuàng)型公司的產(chǎn)品，與之相比，通義千問、文心一言等由傳統(tǒng)互聯(lián)網(wǎng)巨頭開發(fā)的大模型產(chǎn)品，則相對安全系數(shù)比較高。不過，總體來看，奇安信資產(chǎn)測繪鷹圖平臺監(jiān)測發(fā)現(xiàn)，8971個(gè)Ollama（大語言模型服務(wù)工具）大模型服務(wù)器中，有6449個(gè)活躍服務(wù)器，其中88.9%都“裸奔”在互聯(lián)網(wǎng)上，導(dǎo)致任何人不需要任何認(rèn)證即可隨意調(diào)用、在未經(jīng)授權(quán)的情況下訪問這些服務(wù)，有可能導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷，甚至可以發(fā)送指令刪除所部署的DeepSeek、Qwen等大模型文件。

究其原因，傳統(tǒng)互聯(lián)網(wǎng)巨頭在網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面，早有布局，相對安全體系建設(shè)比較完善，而初創(chuàng)公司出于成本的考慮，或因經(jīng)驗(yàn)不足，導(dǎo)致安全體系建設(shè)相對落后，如若后續(xù)不能補(bǔ)足安全體系的話，即便性能再好的模型產(chǎn)品，也終將成為“曇花一現(xiàn)”。大模型的安全能力不僅關(guān)乎風(fēng)險(xiǎn)防控，更是其突破應(yīng)用天花板的關(guān)鍵。（本文首發(fā)于鈦媒體APP，作者｜張申宇，編輯丨蓋虹達(dá)）

更多精彩內(nèi)容，關(guān)注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App

贊助本站