QY球友会体育

近90%Ollama大模型服务器裸奔、DeepSeek频繁被攻击模型网络安全何解？丨ToB产业观察应用与数据安全部分

　　樹大招風，DeepSeek的脫穎而出爲其帶來了更多關注，更多資本注入的同時，也讓DeepSeek遭受到了更多的攻擊。不過，這並不是第一個遭受到大規模網絡攻✅擊的大模型公司，此前諸如Kimi、OpenAI這樣家喻戶曉的模型公司也都遭受到了不同程度的網絡攻擊。

　　DeepSeek遭受到嚴重的網絡攻擊並不是大模型行業的個例，回來過去幾年大模型行業的發展，還有很多大模型成爲了黑灰産業的攻擊對象。

　　2023年11月，Chat✅GPT遭黑客組織DDoS攻擊，多次發生嚴重的業務中斷，甚至大面積癱瘓；2024年9月20日，秘塔AI搜索引擎受到Mirai變種攻擊；2025年1月7日、11日、23日、24日，kimi.ai的也被DDoS攻擊......

　　回顧此次攻擊，在不到一個月的時間內，DeepSeek就接連遭遇了大規模DDoS攻擊、僵屍網絡、仿冒網站泛濫、數據庫安全隱患等各種安全威脅，甚至一度對正常服務造成嚴重影響，根據公開資料顯示，DeepSeek主要面臨的是DDoS攻擊，先後經曆了輕微的HTTP代理攻擊、大量HTTP代理攻擊、僵屍網絡攻擊等行爲，參與攻擊的兩個僵屍網絡分別爲HailBot和Rap✅perBot。

　　在奇安信安全專家看來，種種迹象也折射出了整個AI行業當下面臨著的嚴峻的安全挑戰，“AI行業面臨的網絡攻擊，可能將呈現出持續時間長、攻擊方式不斷進化、攻擊烈度不斷升級、影響危害持續擴大等特征。”該名專家指出。

　　而另一方面，雖然大模型遭到頻繁的網絡攻✅擊是普遍現象，但是從多起攻擊事件中，也不難總結出一些特性。

　　首先，無論是ChatGPT、Kimi，還是此次受攻擊✅的DeepSee✅k，其都有一個共性——均爲具有初創性質的科技公司打造。與之相比，諸如Bing、通義千問、文心一言等傳統老牌互聯網巨頭打造的大模型則大多不會太受攻擊的影響。

　　在盛邦安全安全服務産品線總經理&研發總監郝龍看來，與傳統的互聯網巨頭相比，初創型的科技企業的安全體系建設能力，遠不如已經在互聯網摸爬滾打多年的巨頭，且安全屬于企業成本支出類，對于資金、資源有限的初創企業，更願意將更多的資源用在模型技術的研發和叠代上，這也就造成了，雖然模型能力很強，但是防護能力不足，極容易成爲攻擊目標。

　　無獨有偶，奇安信安全專家也對钛媒體APP表示，在防禦機制建設層面，大模型需要通過嚴密的安全技術保障和運行監測，確保自身的安全性、可靠性和穩定性。而目前絕大多數大模型的安全建設是非常欠缺的。

　　在與多位安全行業專家的溝通中，幾乎所有專家都✅向钛媒體APP表達了對于當下大模型安全體系建設的擔憂。

　　天融信安全專家告訴钛媒體APP，大模型系統在運營中面臨多重安全風險，這些風險源自技術缺陷、不當使用及惡意利用。處理敏感數據時，易受攻擊導致數據竊取、服務中斷及用戶流失。模型本身若存缺陷或後門，則成爲攻擊目標，如投毒攻擊可操控模型輸出，幹擾業務。此外，大模型生成內容可能引發虛假信息、歧視、隱私泄露等問題，威脅公民安全、國家安全及倫理安全。因此，需從體系化角度，針對算法、數據、系統及信息內容制定防範措施。

　　從模型自身風險的角度出發，由于模型本身需要對外提供公開服務，並涉及敏感信息的開放場景，因此會引發多種安全隱患，包括：提示注入攻擊、拒絕服務攻擊、提示詞泄露、通用越獄漏洞等，“這些攻擊都會對大模型的安全性和穩定性帶來重大影響。”奇安信安全專家指出。

　　從模型防護機制建設角度出發，大模型需要通過嚴密的安全技術保障和運行監測，確保自身的安全性、可靠性和穩定性。而目前絕大多數大模型的安全建設是非常欠缺的，以此次遭受大量攻擊的DeepSeek爲例，網宿科技安全事業部高級技術總監胡鋼偉告訴钛媒體APP，此次DeepSeek遭受大規模攻擊，究其原因，一方面是由于DeepSeek自身的防禦機制建設不足，未能儲備足夠的防護資源以面對高強度的DDoS攻擊行爲，另一方面也和DeepSeek在開發過程中未能完善安全測試機制有關，造成了漏洞被攻擊者利用。

　　除此之外，攻擊者除了直接的攻擊以外，還會利用對抗性攻擊和數據投毒來破壞大模型的安全性。例如，2023年，某教育巨頭AI大模型遭遇訓練數據汙染，出現了“毒教材”內容，最終導致該公司市值蒸發達120億元。“在數據投毒方面，只需花費少量成本就能汙染大型開源數據集，進而影響基于這些數據訓練的大模型的行爲。”奇安信安全專家如是說。

　　另一方面，在模型防禦機制建設層面，與傳統互聯網廠商相比，初創的大模型企業在安全開發管理、數據保護體系、安全對抗能力等方面存在明顯“短板”，網絡安全防護技術滯後，傳統防護系統難以應對複雜攻擊。針對模型防禦機制建設，奇安信安全專家提出了建議，在大模型安全服務方面，需要加強合規咨詢服務，安全測試與評估服務，安全培訓服務，應急響應服務，持續監測服務等。

　　在産品方面，除了傳統的網絡安全和數據安全解決方案之外，會出現針對大模型輸入輸出的內容過濾産品，模型保護安全産品，大模型倫理審核産品等。

　　Gartner預測，到2025年，生成式AI的采用將導致企業機構所需的網絡安全資源激增，使應用和數據安全支出增加15%以上。

　　在企業數據價值不斷深挖，以及企業✅業務逐漸離不開網絡的雙重加持下，以網絡安全、數據安全爲代表的“虛擬”資産安全已經成爲在選擇使用一項數字技術過程中，必要的考慮因素。

　　除了模型自身的魯棒性、可解釋性、幻覺等問題會造成的安全問題以外，訓練模型的系統平台也存在安全風險隱患。在系統平台部分，可能遭受非授權訪問和非授權使用等一般風險，除此之外，還可能存在機器學習框架安全隱患、開發工具鏈安全風險、系統邏輯缺陷風險，以及插件相關安全風險等重點風險。

　　同時，在業務應用層面，大模型也存在相關風險，可能存在測試驗證數據更新不及時的一般風險，以及以生成違法不良信息、數據泄露、用戶惡意使用等爲代表的重點風險。

　　值得一提的是，隨著人工智能技術的發展，AI攻擊的形式變得越來越多樣化和複雜化。除了傳統的網絡攻擊方式，攻擊者還利用了AI獨特的能力來增強攻擊的效果，加強了攻擊的隱蔽性。面對多樣化的AI攻擊形式，防禦策略也需要相應升級，利用AI驅動的防禦手段，用AI的“魔法”打敗攻擊者。

　　針對此，多名安全行業專家都建議國內高科技企業建立對抗性安全運營體系，將産品、人員、手段和流程融合成聯動整體，從事件驅動、情報驅動、對抗驅動、狩獵驅動四個方面綜合考量，運用先進的網絡安全監測與防護技術，進行攻擊面識別、網絡入侵和威脅檢測以及安全防護策略升級，還可通過紅藍對抗來檢驗自身安全防護水平，並且利用AI大模型應對新型攻擊。

　　大模型本身也是一個應用，也需要對外提供服務，因此傳統的安全防護不能少。比如使用防火牆、入侵檢測、抗DDoS的硬件安全設備，或者采用雲抗D、雲WAF等雲服務，保障大模型應用在網絡、數據和應用層面的安全。

　　針對AI大模型特有的安全風險，如prompt注入攻擊、信息內容安全風險、數據隱私泄漏以及倫理與法律風險，需要升級安全防護手段，對prompt內容進行輸入過濾與驗證，利用對抗訓練技術抵抗prompt攻擊；升級數據治理，把控數據質量，避免不良信息生成；實時監測與審查模型輸出內容，及時攔截與糾正有害信息。

　　雖然安全措施可能增加計算成本（如密態推理的延遲），但通過技術創新（如GPU可信執行環境）可實現安全與效率的平衡，在郝龍看來，安全問題對于大模型企業而言，雖然是成本問題，但是安全也組成大模型“水桶”的關鍵一塊木板，決定著大模型的上限在哪裏。

　　從國內大模型行業的發展就不難看出，無論是Kimi，還是DeepSeek，絕大多數被爆出遭到大量攻擊的大模型産品都是初創型公司的産品，與之相比，通義千問、文心一言等由傳統互聯網巨頭開發的大模型産品，則相對安全系數比較高。不過，總體來看，奇安信資産測繪鷹圖平台監測發現，8971個Ollama（大語言模型服務工具）大模型服務器中，有6449個活躍服務器，其中88.9%都“裸奔”在互聯網上，導致任何人不需要任何認證即可隨意調用、在未經授權的情況下訪問這些服務，有可能導致數據泄露和服務中斷，甚至可以發送指令刪除所部署的DeepSeek、Qwen等大模型文件。