《北京大学：2025年DeepSeek应用场景中需要关注的十个安全问题和防范措施（101页）.pdf》由会员分享，可在线阅读，更多相关《北京大学：2025年DeepSeek应用场景中需要关注的十个安全问题和防范措施（101页）.pdf（101页珍藏版）》请在三个皮匠报告上搜索。

1、DeepSeek应用场景中需要关注的十个安全问题和防范措施AI肖睿团队（傅峥、王俊鑫、秦天、李娜、谢安明、陈钟）2025年2月26日 北大青鸟人工智能研究院 北大计算机学院Deepseek内部研讨系列1.本次讲座为DeepSeek原理和应用系列研讨的讲座之一。随着人工智能技术的快速发展，DeepSeek作为前沿的AI平台，其安全性和可靠性成为关注焦点。本讲座探讨了DeepSeek在实际应用中面临的安全挑战，为不同类型的用户揭示使用DeepSeek的潜在风险并提出防范策略。2.本讲座的内容分为四个主要部分：首先，介绍了DeepSeek安全问题具有威胁难以预测、攻防非对称的特点，以及存在数据隐私、

2、知识产权、责任归属、伦理道德等法律问题；并从内生安全和外延安全描述了安全方案框架，帮助大家对DeepSeek的安全建立整体认知。其次，帮助大家理解DeepSeek模型自身的5个安全问题，包括DDoS攻击、无限推理攻击、漏洞探测与利用、投毒问题和越狱问题，还演示了漏洞探测与利用的过程，让大家形象的理解DeepSeek被黑客利用的过程。再次，帮助企业用户和技术爱好者说明了DeepSeek私有化部署的2个安全问题，包括DeepSeek本地化部署工具的风险、针对DeepSeek本地化部署实施网络攻击的风险。并演示了从利用部署工具的漏洞到最终获取模型服务器管理权的全过程，帮助大家能安全的使用私有化部署。

3、最后，为普通用户介绍DeepSeek外延的3个安全问题，包括仿冒DeepSeek官方APP植入木马、仿冒DeepSeek官方网站和域名收集用户信息、DeepSeek辅助实施攻击。还演示了仿冒网站收集用户信息、DeepSeek辅助渗透攻击的方法。让普通用户在使用DeepSeek的时候了解常见的防范措施。3.在技术学习的道路上，优质学习资源至关重要。推荐大家参考人工智能通识教程（微课版）这本系统全面的入门教材，结合B站“思睿观通”栏目的配套视频进行学习。此外，欢迎加入社区，以及“AI肖睿团队”的视频号和微信号，与志同道合的AI爱好者交流经验、分享心得。摘要学 习 交 流 可 以 加 A I 肖 睿

4、 团 队 微 信 号（A B Z 2 1 8 0）目 录CONTENTS89 8N I01DeepSeek安全问题的特点及目前的安全方案框架02DeepSeek模型的5个安全问题03DeepSeek私有化部署的2个安全问题04DeepSeek外延的3个安全问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek安全问题的特点及目前的安全方案框架PART 0188PEKING UNIVERSITYN i V68 9 85 2025年2月17日，中共中央在北京召开民营企业座谈会，DeepSeek创始人梁文锋出席了会议。这不仅是对DeepSee

5、k的认可，也意味着国家对民营企业AI创新、AI应用的鼓励和高度重视。DeepSeek快速出圈，硬控全中国学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）6 AI发展的独到之处就在于并非由权威主导，而是由广大民营创业者主导。另外，世界各地的开发者和研究机构通过开源平台共享代码和研究成果，这种全球协作加速了技术的传播和创新。其发展速度具有以下显著特点：创新与迭代速度快 DeepSeek的版本从V2、V2.5、V3到R1等更新仅用了半年多 用户增长快 上线18天，日活用户数达到1500万，而ChatGPT达到同样的数字，花了244天。上线20天内，日活跃用

6、户突破2000万，成为全球增速最快的AI应用。上线7天，斩获1.1亿全球用户，登顶多个国家应用商店 安全问题特点突出 威胁难以预测 攻防非对称 法律问题：如数据隐私、知识产权、责任归属、伦理道德等DeepSeek的快速发展与安全问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）7 传统技术工具与人工智能技术特性迥异。传统技术工具即便复杂，其设计原理和运行逻辑也能被人掌握，行为可预测。安全问题特点1：威胁难以预测DeepSeek安全问题的特点传统技术工具的逻辑相对固定行为可预测、容易控制学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（

7、A B Z 2 1 8 0）8 现代人工智能技术主要是指大模型技术，是基于深度学习的人工神经网络模型的数据智能，犹如“黑箱”，使用者仅知其好用，却不明原理，也无法排除错误和安全隐患。同时，大模型在推理阶段还具有系统“涌现”的可能，即极高的规模和复杂度下产生新的、不可预测的特性或行为模式。安全问题特点1：威胁难以预测DeepSeek安全问题的特点广州某教授查阅文献得到虚构信息DeepSeek虚构某记者的文章DeepSeek靠忽悠赢了ChatGPT学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）9 当人工智能广泛应用于各行各业，当人工智能的“黑箱”“涌现

8、”出难以预测的、错误的和有安全隐患的信息和行为时，用户通常只能被动接受。安全问题特点1：威胁难以预测DeepSeek安全问题的特点学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）10 在人工智能安全领域，攻防的非对称性十分显著。从攻击端来看，成本低廉、手段丰富且易于实施。比如对抗样本攻击，只需对原始数据做些人眼难察的微小扰动，就能让人工智能系统输出错误结果。安全问题特点2：攻防非对称DeepSeek安全问题的特点一个本该触发停车的STOP标识，简单处理后，会被误识别为speed limit 45学 习 交 流 可 以 加 A I 肖 睿 团 队 微

9、信 号（A B Z 2 1 8 0）11 DeepSeek遭受连环攻击安全问题特点2：攻防非对称DeepSeek安全问题的特点2025 年 1 月 31 日劫持会话、窃取信息，发起网络钓鱼攻击XSS漏洞攻击数据库越权2025年1月28日超过一百万行的日志流被曝光，包含聊天记录、API 密钥、后端详细信息等高度敏感信息2025 年 1 月DeepSeek 官方网站瘫痪长达 48 小时DDoS攻击DeepSeek 对大型公开数据集的依赖，未来会进一步加大了注入对抗样本的风险，可能长期产生不良后果，如操控模型行为和输出等模型投毒防御端难度极大，不仅成本高昂，还需持续投入。防御方得投入大量精力研发更安

10、全的机器学习算法和模型。同时，还得时刻关注攻击者的新动向，及时调整和完善防御策略，以此来应对复杂多变的攻击威胁。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）12 AI的发展带来了诸多法律挑战，涉及数据隐私、知识产权、犯罪治理等多个领域。随着AI技术的广泛应用，相关法律问题将更加复杂，需要立法、司法和企业共同努力，完善法律框架，规范AI技术的应用。法律问题DeepSeek的法律问题2025年3月1日起，腾讯元宝已对此协议内容进行了更新学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）13 2025年3月全国

11、两会，围绕人工智能话题，多位人大代表和政协委员建言献策：奇安信董事长齐向东：针对人工智能发展的安全问题，要从技术保障、制度保障、成果应用三方面入手，系统提升安全能力，确保人工智能安全发展。360创始人周鸿祎：传统网络安全的解题方法解决不了人工智能的安全问题。智能体的安全、知识数据的安全、客户端的安全、基座模型的安全，构成AI安全的新领域。TCL董事长李东生：对AI生成的内容进行强制标识，减少恶意滥用，并有助于厘清责任、对违法犯罪行为追责。小米董事长雷军：明确“AI换脸拟声”应用边界红线，完善侵权证据规则，加大对利用人工智能技术实施犯罪行为的刑事处罚力度全国两会热议AI安全DeepSeek安全和

12、法律问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek安全方案框架0102内生安全问题：更聚焦于Deepseek系统自身内部的核心要素，如数据、算法、模型等，关注的是这些要素在系统运行过程中的安全保障，确保系统本身能够稳定、正确、安全地运行外延安全问题：重点关注在社会、经济、法律等外部环境中产生的影响和问题，包括发展安全、技术滥用（如网络攻击、深度伪造等）。更侧重于Deepseek技术与外部世界交互过程中引发的一系列安全问题和挑战安全问题的分类学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0

13、）学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek安全方案框架问题类别具体类型安全问题描述模型算法可解释性差算法内部逻辑复杂，像“黑盒子”，输出结果难以理解，出现问题时难以找到原因偏见、歧视算法设计或训练数据有偏差，可能导致对某些群体不公平，比如性别、种族歧视鲁棒性弱模型容易受干扰或攻击，比如环境变化或恶意输入可能导致决策错误被窃取、篡改算法的核心信息可能被黑客攻击、窃取或篡改，甚至被植入后门，导致安全问题输出不可靠生成式AI可能产生看似合理但实际错误的内容，比如“幻觉”，容易误导用户对抗攻击攻击者通过设计特殊数据误导模型，使其产生错

14、误输出或瘫痪数据安全违规收集使用数据未经用户同意收集或不当使用数据，比如过度收集个人信息，侵犯隐私训练数据含不当内容训练数据中包含虚假、偏见或有害信息，甚至被攻击者“投毒”，影响模型准确性训练数据标注不规范数据标注错误或不准确，可能导致模型学习偏差，影响结果可靠性数据泄露数据在处理过程中可能被泄露，导致隐私或商业机密受损系统安全缺陷、后门被攻击利用系统可能存在漏洞或后门，被攻击者利用，导致安全风险算力安全算力资源可能被恶意消耗或攻击，影响系统正常运行供应链安全依赖的芯片、软件等可能被断供或存在安全问题，影响人工智能系统的稳定性内生安全问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微

15、信 号（A B Z 2 1 8 0）DeepSeek安全方案框架问题类别具体类型安全问题描述网络领域信息内容安全生成虚假信息、歧视偏见内容，可能误导公众，威胁国家安全、公民隐私等混淆事实、误导用户未标识的人工智能输出可能让用户分不清真假，甚至绕过身份认证，导致安全漏洞不当使用引发信息泄露工作人员不当使用人工智能，可能导致工作秘密、商业机密等敏感信息泄露滥用于网络攻击人工智能被用于自动化的网络攻击，降低攻击门槛，增加防护难度现实领域诱发经济社会安全在金融、能源、交通等行业应用时，模型错误或外部攻击可能导致系统中断、失控用于违法犯罪活动人工智能可能被用于涉恐、涉暴、涉毒等违法犯罪活动，降低犯罪门槛

16、两用物项和技术滥用人工智能技术可能被用于制造危险物品或发动攻击，对国家安全、经济安全构成威胁认知领域加剧“信息茧房”效应定制化信息服务可能让用户只看到想看的信息，进一步加剧信息偏见和分化用于开展认知战风险制作虚假信息、干扰舆论，甚至干涉他国内政，危害他国主权和安全伦理领域加剧社会歧视偏见对不同人群进行分类和区别对待，可能加剧社会不平等和歧视问题挑战传统社会秩序改变生产方式和社会结构，可能对传统就业、社会观念等带来冲击未来脱离控制随着技术发展，人工智能可能超出人类控制，带来不可预知的风险外延安全问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）Dee

17、pSeek模型5个安全问题PART 0288PEKING UNIVERSITYN i V68 9 8DeepSeek模型5个安全问题问题1：DeepSeek遭受DDoS攻击问题2：DeepSeek遭受无限推理攻击问题3：DeepSeek遭受漏洞探测与利用问题4：DeepSeek模型的投毒问题问题5：DeepSeek模型的越狱问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：DeepSeek遭受DDoS攻击 Deepseek官网发文遭受攻击 2025年1 月 28 日，DeepSeek官网服务状态页面发布信息称，由于近期 DeepSeek 线

18、上服务遭受了大规模恶意侵袭，为确保服务能够持续稳定地提供，目前暂时仅保留了+86 手机号这一注册方式，限制了其他注册途径，而已成功注册的用户仍可正常登录图片来源：奇安信学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：DeepSeek遭受DDoS攻击 攻击分为三个阶段 第一阶段，1月3日、4日、6日、7日、13日，出现疑似HTTP代理攻击。在该时间段大量连接DeepSeek的代理请求，很可能是HTTP代理攻击 第二阶段，1月20日、22-26日，攻击方法转为SSDP、NTP反射放大，少量HTTP代理攻击 第三阶段，1月27、28号，攻击数量激增

19、，手段转为应用层攻击图片来源：奇安信学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：DeepSeek遭受DDoS攻击 DDos+暴力破解 1月28日攻击峰值出现在北京时间03:00-04:00（UTC+8），对应北美东部时区14:00-15:00（UTC-5）。该时间窗口选择显示攻击存在跨境特征，且不排除针对海外服务可用性的定向打击意图 本次DDoS攻击还伴随着大量的暴力破解攻击。暴力破解攻击IP全部来自美国这些IP有一半是VPN出口，推测也有可能是因为DeepSeek限制海外手机用户导致的情况图片来源：奇安信学 习 交 流 可 以 加 A

20、I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：DeepSeek遭受DDoS攻击 攻击升级 1月30日，两个变种僵尸网络加入攻击，指令激增100多倍。攻击模式从最初的易被清洗的放大攻击，升级至1月28日的HTTP代理攻击，现阶段已演变为以僵尸网络为主。攻击者使用多种攻击技术和手段，持续攻击DeepSeek 2个Mirai变种僵尸网络参与攻击，分别为HailBot和RapperBot。此次攻击共涉及16个C2服务器的118个C2端口，分为2个波次，分别为凌晨1点和凌晨2点图片来源：奇安信学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0

21、）问题1：DeepSeek遭受DDoS攻击 HailBot僵尸网络 僵尸网络是由攻击者通过恶意软件感染并控制的设备网络，这些设备被称为“僵尸”或“机器人”。攻击者通过命令与控制服务器向这些设备发送指令，执行各种任务 HailBot平均每天攻击指令上千条、攻击上百个目标。攻击目标分布在中国、美国、英国、中国香港、德国等地区，符合典型的“职业打手”特征图片来源：奇安信学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：DeepSeek遭受DDoS攻击 RapperBot僵尸网络 RapperBot平均每天攻击上百个目标，攻击目标分布在巴西、白俄罗斯、

22、俄罗斯、中国、瑞典等地区 Hailbot和RapperBot两个僵尸网络常年活跃，攻击目标遍布全球，专门为他人提供DDoS攻击服务。向目标服务器持续增加攻击规模和强度，耗尽目标服务器的网络带宽和系统资源，使其无法响应正常业务，最终瘫痪或中断图片来源：奇安信学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek遭受无限推理攻击 过度推理无限循环的风险 在处理一些特殊查询时，它们会陷入过度推理甚至无休止的思考。利用这种无休止的思考查询，黑客可以以更便宜的 DDoS 方式破解模型服务器，因为单个查询就会占用资源直到达到最大 token 约

23、束。这种灾难性的漏洞无休止的思考查询，也会破坏依赖于推理 LLM 的开源开发生态系统。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek遭受无限推理攻击 过度推理重复序列 通过对多个接入R1的第三方应用（测试中均已关闭联网）进行测试，虽然也未能实现无限思考现象，但在部分应用中的确看到了较长的思考过程。真正的攻击，也确实不一定非要让模型陷入死循环，因此如果能够拖慢模型的思考过程，也是一种有效的大模型攻击手段。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek遭受无限

24、推理攻击 过度推理造成的DDOS 过度推理的攻击查询可以持续占用相对大量的计算资源，而黑客只需要付出很小的网络资源。我们运行一个玩具实验来比较过度推理查询和正常查询的计算资源占用情况。举例：在单个4090 GPU上部署DeepSeek-R1-Distill-Qwen-7B，运行过度推理查询和正常查询，记录其GPU占用情况如右图如图所示，仅仅几个过度推理的请求就会占用整个GPU资源，黑客将此属性作为DDoS攻击服务器的策略将是一场噩梦学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用AI Generated Co

25、ntent（人工智能生成内容）010203服务暴露探测外部暴露的服务利用验证识别异常和潜在的内部开发服务并利用验证DNS探测主动及被动的探测子域名学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用 主动探测子域名 在主动方式下，将收集包含数十万个域名的公共字典，并尝试对的目标（如 ）进行模糊测试和“猜测”更多有效的子域名，例如 等等主动搜集探测子域名学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用被动发现有效的子域名 被动探测

26、子域名 在被动方式下，查询互联网上的公共 DNS 数据集，并收集目标的已知子域名 阶段目标 收集有效的子域名列表，并将它们保存到一个地方。有效子域名指的是具有 IP 地址的 DNS 记录，或指向其他资产的记录学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用探测外部暴露的服务 探测外部暴露的服务 已经有了目标的子域名列表。接下来，需要将范围缩小到所有外部可访问的子域，并且这些子域主动暴露某种服务，通常从 HTTP 探测开始，列出所有公开暴露并在 80 和 443 端口上提供 Web 服务的 DNS 名称 非所有

27、的公开暴露都通过 HTTP 服务，每家公司都有其独特的开发方式，因此，扫描所有开放端口（1-65,535）并检查它们是否暴露了其他服务是非常重要的学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用识别异常和潜在的内部开发服务 识别异常和潜在的内部开发服务 到了一个属于 DeepSeek 的公开HTTP 服务器列表其中大部分是完全合法的，比如他们的聊天机器人、API 文档或状态监控 Web 服务器 某些端口通常不用于公开服务 HTTP Web 服务器，而是更常见于开发过程中，作为内部服务或测试环境的一部分。这种情

28、况下，公开这些端口可能会带来潜在的安全风险，因为它们往往没有经过充分的安全加固或审查学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用 利用验证 检查发现的服务器上是否存在任何立即可见的 HTTP 和网络配置错误配置错误包括默认凭证、未授权访问门户、CVE 漏洞等 通过查看 ClickHouse的 API，能够访问 HTTP API，这样能够直接查询MySQL 数据库。这个 API 的存在表明没有身份验证或访问控制，任何人都可以轻松地与数据库交互，获取敏感数据学 习 交 流 可 以 加 A I 肖 睿 团 队

29、微 信 号（A B Z 2 1 8 0）问题3：DeepSeek遭受漏洞探测与利用 该漏洞暴露的数据非常严重，尤其是来自 log_stream表的日志，包含了超过 100 万行的日志，其中包括聊天历史、DeepSeek API 密钥、基础设施和操作信息等大量敏感数据。这样的暴露会导致重大的安全风险，因为这些信息可以被恶意用户利用，进一步攻击系统或窃取机密数据 严重的漏洞有时不需要很复杂，DeepSeek暴露了其内部的ClickHouse数据库，没有任何身份验证，泄露了敏感信息。目前该漏洞已修复，不可被利用攻击。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1

30、8 0）问题4：DeepSeek模型的投毒问题 威胁 通过注入虚假或误导性数据，污染大模型训练数据集 干扰模型训练时的参数调整，破坏性能、降低准确性或诱导有害输出 攻击方式 数据集污染 模型常用开源第三方或互联网自有数据集 若未有效清洗，易包含受污染样本 研究显示，60 美元可毒害 0.01%的 LAION-400M 或 COYO-700M 数据集，100 个中毒样本即可致模型恶意输出 运行期投毒 大模型常周期性用运行期新数据重训 攻击者可利用此，如在聊天机器人问答中输入大量错误事实，影响其后续输出学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题

31、4：DeepSeek模型的投毒问题 严重后果 远超 AI 聊天机器人错误输出 波及依赖模型输出的下游应用，如推荐系统、医疗诊断、自动驾驶等 可能引发企业决策失败、医疗误诊、交通事故等严重事故学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题5：DeepSeek模型的越狱问题 威胁 通过技术手段绕过LLM的安全机制，可能导致有害输出，如争议话题、过度代理、事实不一致、骚扰、仇恨言论、非法活动、法律信息、错位、过度依赖、隐私攻击、亵渎、自残、敏感信息泄露、色情内容、不道德行为以及暴力/不安全行为等 攻击方式 攻击者利用精心设计的提示词或漏洞，让模型突破

32、原本设定的安全限制，输出不符合道德、法律规范或模型开发者预期的结果 研究数据 宾夕法尼亚大学的研究者使用来自 HarmBench 数据集的 50 个有害提示词对 DeepSeek R1 进行测试，结果其未能拦截任何一个有害请求，攻击成功率达到 100%Qualys TotalAI测试了18种不同的越狱攻击类型，总共进行了885次越狱测试和891次知识库评估，测试规模相当全面。结果显示，DeepSeek-R1 LLaMA 8B模型在61%的知识库测试和58%的越狱攻击中失败学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题5：DeepSeek模型的越

33、狱问题 严重后果 生成有害指令：可能生成指导有害活动的指令，如教导如何制造危险物品、进行非法操作等，对社会安全和个人安全构成威胁 传播不良言论：制造仇恨言论内容，可能引发社会矛盾和冲突，破坏社会和谐与稳定，对特定群体造成伤害 宣扬错误观念：宣扬阴谋论等没有事实依据的内容，误导公众，干扰人们对正常事物的认知和判断，影响社会的理性氛围 提供错误信息：在医疗等专业领域提供错误信息，可能会误导用户做出错误的医疗决策，对健康造成危害学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek常见的其它安全漏洞学 习 交 流 可 以 加 A I 肖 睿 团

34、队 微 信 号（A B Z 2 1 8 0）除了上述5个主要的安全问题以外，还存在其他安全隐患。大模型用户在享受便利的同时务必要擦亮双眼，避免得不偿失。输出处理不安全 用户没检查大模型的输出结果就用于展示，这样会导致信息泄露、误导决策和声誉受损等后果 供应链漏洞 大语言模型依赖的组件或服务存在安全问题，从而被攻击者利用进行恶意攻击 敏感信息披露 大模型回复信息包含了敏感机密信息，让人非法获取机密数据、侵犯隐私并造成安全问题 插件设计不安全 大模型的插件输入方式不安全和访问控制不到位，会导致远程代码执行和越权的安全问题 过多权限 大模型拥有过多功能和权限，导致执行了有害操作，而大模型根本不知道操

35、作是有害的DeepSeek常见的其它安全漏洞学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek的以下输出内容即存在“输出处理不安全”和“敏感信息披露”的隐患。DeepSeek大模型漏洞防范措施安全配置服务器采用加密传输2部署阶段强化数据管理加强模型设计与验证严格代码审查1开发阶段实时监控与预警定期漏洞扫描与更新应急响应与恢复3运行阶段学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）AI大模型漏洞防范措施强化数据管理在数据收集环节，确保数据来源合法合规，避免使用来源不明或存在安全隐患的数据。对收

36、集到的数据进行严格清洗和预处理，去除错误、重复及可能包含敏感信息的数据。在数据存储时，采用加密技术对数据进行加密存储，确保数据的保密性加强模型设计与验证采用安全的模型架构设计，避免使用已知存在安全风险的架构或算法。在模型训练过程中，进行充分的验证和测试，包括对模型的准确性、稳定性和安全性进行评估。使用对抗训练技术，通过生成对抗样本，让模型在训练过程中学习识别和抵御攻击严格代码审查对模型开发过程中的代码进行严格的审查，遵循安全编码规范，避免出现常见的安全漏洞，如缓冲区溢出、SQL 注入等。采用自动化代码审查工具，结合人工审查，确保代码的质量和安全性开发阶段部署阶段运行阶段学 习 交 流 可 以

37、加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）AI大模型漏洞防范措施43安全配置服务器选择安全可靠的服务器环境，对服务器的操作系统、网络配置等进行安全加固。及时更新服务器的补丁和安全更新，关闭不必要的服务和端口。采用防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）等安全设备，对服务器进行实时监控和防护采用加密传输在模型部署和数据传输过程中，采用加密技术对数据进行加密传输，确保数据在传输过程中的安全性。使用安全的通信协议，如 HTTPS，防止数据被窃取或篡改。同时，对模型的访问进行身份验证和授权，只有经过授权的用户才能访问和使用模型开发阶段部署阶段运行阶段学 习 交

38、流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）AI大模型漏洞防范措施44实时监控与预警建立实时监控系统，对模型的运行状态进行实时监控，包括模型的性能、安全性和稳定性等指标。通过监控数据，及时发现模型运行过程中出现的异常情况，如模型输出异常、数据泄露等定期漏洞扫描与更新定期对模型进行漏洞扫描，使用专业的漏洞扫描工具，检测模型是否存在已知的安全漏洞。对于发现的漏洞，及时进行修复，确保模型的安全性。同时，建立漏洞管理机制，对漏洞的发现、修复和验证等过程进行跟踪和管理应急响应与恢复制定完善的应急响应计划，当模型遭受攻击或出现安全事件时，能够迅速采取有效的应急措施，降低

39、损失。建立备份和恢复机制，定期对模型和数据进行备份，确保在出现安全事件时，能够快速恢复模型和数据的正常运行开发阶段部署阶段运行阶段学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek私有化部署的2个安全问题PART 0388PEKING UNIVERSITYN i V68 9 8DeepSeek私有化部署的2个安全问题问题1：针对DeepSeek本地化部署实施网络攻击的风险问题2：DeepSeek本地化部署工具的风险学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：针对DeepSeek本地

40、化部署实施网络攻击的风险 2025年3月10日，工信部发布防范针对DeepSeek本地化部署实施网络攻击的风险提示学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：针对DeepSeek本地化部署实施网络攻击的风险 以HackBrian RAT为例，黑产组织“银狐”已将传统钓鱼工具升级为“AI劫持武器”，通过捆绑正常的“ds大模型安装助手”程序，针对试图自动化部署DeepSeek的人员实施攻击并最终植入HackBrian RAT木马，可以轻易的窃取机密数据、破坏模型数据、劫持企业算力学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（

41、A B Z 2 1 8 0）问题1：针对DeepSeek本地化部署实施网络攻击的风险 攻击示例：捆绑了HackBrian RAT木马的“ds大模型安全助手”的安装包学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）样本名称文件类型文件大小ds大模型安全助手、deepseek_installEXE132.64 MB问题1：针对DeepSeek本地化部署实施网络攻击的风险 攻击示例：安装后会创建文件夹Axialis并在其中释放多个恶意文件，执行过程如下 1.程序会静默执行Decision.vbs脚本 2.通过powershell执行silently脚本，并

42、绕过安全沙箱加载Update.dll 3.从Config中解密并提取出内存注入恶意代码，同时规避安全检测 4.木马上线，远程连接银狐服务器 5.银狐可获取DeepSeek服务器系统信息、注入进程、执行命令、键盘记录、操作注册表和屏幕监控等学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 2025年3月6日，工信部发布关于防范大模型本地部署工具超危漏洞的风险提示学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 两会政协委员

43、谈DeepSeek的“裸奔”现象 监测数据显示：在8971个Ollama部署的大模型服务器中，有6449个活跃服务器，仅国内就有5669个运行DeepSeek R1的服务器，其中88.9%都“裸奔”在互联网上 通过简单的攻击语句就能控制大模型，并获取后台数据学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 DeepSeek本地化部署方式 由于 DeepSeek 爆火，官网的访问量过大，服务时常处于繁忙状态，用户们开始寻找替代方案，纷纷选择使用 Ollama+OpenWebUI、LM Studio 等工具进行

44、本地快速部署 通过这种方式，企业能够将强大的 AI 能力引入内网，提升办公效率和数据处理能力，个人用户也可以在自己的PC中畅享DeepSeek带来的便利Ollama+OpenWebUI方式部署Deepseek学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 部署工具的安全风险 当 Ollama 启动时，默认会开放 11434 端口。在该端口上，可通过 restful api 公开执行一系列核心功能，其中包括模型的下载、上传，以及进行模型对话等操作。通常，在默认设置下，Ollama 仅在本地开放此端口，为本地

45、的使用提供便利。然而，在 Ollama 的 docker 环境中情况有所不同，其默认会以 root 权限启动，并且会将11434 端口开放至公网，与仅在本地开放的常规情况形成了差异Ollama Docker 镜像学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 Ollama对这些接口普遍没有鉴权，导致攻击者扫描到这些ollama的开放服务后可以进行疯狂攻击攻击类型描述模型删除直接删除大模型模型窃取查看 ollama 模型，自建镜像服务器，窃取私有模型中的文件算力窃取查看 ollama 模型，随后通过请求对话

46、窃取目标机器算力模型投毒下载有毒模型，将有毒模型迁移到用户的正常大模型，污染使用者对话远程命令执行漏洞 Ollama 远程命令执行漏洞【CVE-2024-37032】学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：Ollama接口鉴权风险 Ollama 开放 HTTP 服务的多个 API 端点学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：扫描发现Ollama部署的很多大模型服务器 经过测试发现O

47、llama其默认服务端口11434并无口令验证或apikey验证等安全访问机制。查询在 13931个搜索结果中，仅我国内就有6528 个大模型服务器处于活跃状态学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：收集DeepSeek服务器信息 任意访问一个服务器即可看到Deepseek模型部署的具体情况学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：利用Ollama远程命令执行漏洞【CVE-2024-

48、37032】是Ollama开源框架中一个严重的路径遍历漏洞，允许远程代码执行（RCE）。该漏洞影响Ollama 0.1.34之前的版本，通过自建镜像伪造manifest文件，实现任意文件读写和远程代码执行。以下示例为读取系统用户信息。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：利用OpenWebUI 文件上传漏洞 用户通过Open WebUI的界面上传文件，文件会被存储到静态上传目录。上传文件名可伪造，未进行校验，允许攻击者通过构造包含路径遍历字符如././的文件名，将文件上传至任意目录远程

49、命令执行写入ssh authorized_keys写入任意路径服务器接收上传请求拼接文件路径UPLOAD_DIR/filename路径验证机制通过HTTP POST上传文件HTTP请求包构造文件名././攻击者准备恶意文件学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：利用OpenWebUI【CVE-2024-6707】漏洞 通过篡改清单文件并插入恶意 Digest，使得模型在被推送到远程注册表（http:/肉鸡IP:11434/api/push）时触发恶意行为，从而泄露服务器上的敏感文件，服务

50、器将泄露字段中指定的文件的内容，仅需要一个文件就就可以黑掉AI大模型学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：扫描暴露的大模型服务器 模型服务器通过接口将模型功能对外提供服务，以便其他应用程序或用户能够访问和使用该模型进行预测、推理等操作。使用网络空间资产搜索引擎，利用特殊语法搜索ollama应用程序，可暴露部署模型的服务器地址。网络空间资产搜索引擎从图中可看到，2万多个服务器中，我国的模型部署服务器占比达接近50%，超过1万台。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信

51、号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：远程连接DeepSeek，获取管理员权限 Ollama 通常会在 11434 端口上提供 HTTP 接口，允许用户通过发送 HTTP 请求来与DeepSeek服务器进行交互。同时也可以用于模型的管理操作，例如加载、卸载模型，查询模型的状态和信息等 使用特殊插件设置要攻击的DeepSeek大模型IP地址及端口号。即可获取管理权限学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：对DeepSeek大模型服务器可肆意

52、破坏 获取管理权限之后，即可在管理平台中删除模型、添加模型。添加/删除模型新知识、添加删除提示词以及修改各种设置学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：恶意添加系统提示词 通过添加特定提示词，可诱导大模型生成错误或混淆视听的信息。例如：可恶意添加模型的系统提示词。可以让当前模型回复用户的问题必须使用指定的语言设置系统提示词学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：DeepSeek本地化部署工具的风险 攻击示例：被入侵模型回复 被入

53、侵的模型应用了系统提示词之后，回复用户的都是怪字符。如果大模型经常生成恶意或错误的信息，用户将对其失去信任，这会阻碍人工智能技术的推广和应用，影响整个行业的发展。严重警告！以上操作根据具体行为和造成的后果，会违反多种法律法规。提醒所有读者切勿模仿！入侵并修改系统提示词后，大模型只会用怪字符回答问题学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek本地化部署风险防范网络安全防范模型安全防范系统与人员安全防范1.网络隔离2.防火墙设置3.入侵检测与防御1.模型验证与签名2.模型更新管理3.防止模型窃取1.系统安全加固2.人员安全管理学 习

54、交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek本地化部署风险防范68模型验证与签名在模型部署前，对模型进行完整性验证和数字签名，确保模型未被篡改。可以使用哈希算法计算模型的哈希值，并与官方发布的哈希值进行比对；数字签名则可以保证模型的来源可信模型更新管理建立安全的模型更新机制，确保模型更新的安全性和可靠性。在更新模型前，对更新包进行严格的安全检测，验证更新的合法性和完整性。同时，对模型更新过程进行监控，防止更新过程中出现安全问题防止模型窃取采取技术措施防止模型被窃取，例如对模型进行加密存储，限制模型的访问和导出权限。可以使用硬件加密设备（H

55、SM）来保护模型的密钥，增加模型窃取的难度模型安全防范系统与人员安全防范网络安全防范学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek本地化部署风险防范69系统安全加固对部署大模型的操作系统和相关软件进行安全加固，及时安装系统补丁和安全更新，关闭不必要的服务和端口，降低系统被攻击的风险。定期进行系统安全扫描，发现并修复潜在的安全漏洞人员安全管理加强对涉及大模型部署和管理的人员的安全培训，提高其安全意识和操作技能。制定严格的人员管理制度，规范人员的操作行为，防止内部人员因误操作或恶意行为导致安全事故。同时，对人员的访问权限进行定期审查和更

56、新，确保人员权限的合理性模型安全防范系统与人员安全防范网络安全防范学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek本地化部署风险防范70网络隔离将部署大模型的本地服务器与外部网络进行物理或逻辑隔离，例如使用专用网络、虚拟专用网络（VPN），仅允许必要的通信端口开放，并严格限制访问来源。同时，在内部网络划分不同安全区域，将大模型相关服务置于安全级别较高的区域防火墙设置部署高性能防火墙，对进出网络的流量进行严格过滤。根据大模型服务的实际需求，制定精细的访问控制策略，阻止未经授权的网络访问和异常流量。定期更新防火墙规则，以应对新出现的网络威

57、胁入侵检测与防御安装入侵检测系统（IDS）和入侵防御系统（IPS），实时监测网络流量，及时发现并阻止恶意攻击行为。通过配置合理的检测规则，对常见的攻击手段，如DDoS 攻击、SQL 注入、端口扫描等进行有效识别和拦截模型安全防范系统与人员安全防范网络安全防范学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek外延的3个安全问题PART 0488PEKING UNIVERSITYN i V68 9 8DeepSeek外延的3个安全问题问题1：仿冒DeepSeek官方APP植入手机木马问题2：仿冒DeepSeek官方网站和域名收集用户信息问题

58、3：利用DeepSeek实现自动渗透攻击学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）73 国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（）在我国境内捕获发现针对我国用户的仿冒国产人工智能大模型“DeepSeek”官方APP的安卓平台手机木马病毒仿冒DeepSeek手机木马病毒问题1：仿冒DeepSeek官方APP植入手机木马学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：仿冒DeepSeek官方APP植入手机木马DeepSeek木马病毒样本信息文件名

59、称DeepSeek apk应用名称DeepSeek包名com.hello.world图标Hash(MD5)elffO86b629ce744a7c8dbe6f3db0f68开发者签名CN=AndroidDebug.OU=Android,O=Unknown,L=Unknown,ST=Unknown,C=US证书Hash(MD5)20f46148b72d8e5e5ca23d37a4f41490文件体积12.80MB版本1.0学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题1：仿冒DeepSeek官方APP植入手机木马学 习 交 流 可 以 加 A I

60、肖 睿 团 队 微 信 号（A B Z 2 1 8 0）2025年1月以来，DeepSeek爆火，其官方APP程序在全球多个国家和地区的手机应用市场登顶 网络犯罪份子立即加以利用，捆绑了木马的APP与DeepSeek官方APP“长相一致”问题1：仿冒DeepSeek官方APP植入手机木马 诱导用户安装APP，夺取手机控制权 用户一旦点击运行仿冒APP，该APP会提示用户“需要应用程序更新”，并诱导用户点击“更新”按钮。用户点击后，会提示安装所谓的“新版”DeepSeek应用程序，实际上是包含恶意代码的子安装包，并会诱导用户授予其后台运行和使用无障碍服务的权限 该病毒App还包含拦截用户短信、窃

61、取通讯录、窃取手机应用程序列表等侵犯公民个人隐私信息的恶意功能和阻止用户卸载的恶意行为学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 仿冒DeepSeek网站 除仿冒DeepSeek手机APP之外，还有大量仿冒域名、仿冒官方网站的现象。对外发布行骗消息。预计未来一段时间内，包括仿冒DeepSeek在内的各种人工智能应用程序的病毒木马将持续增加学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 仿冒De

62、epSeek域名 据统计，自2024年12月1日至2025年2月3日，共监测到2650个仿冒DeepSeek的网站 全球化趋势。在这些仿冒DeepSeek的域名中，有60%的解析IP位于美国，其余则主要分布在新加坡、德国、立陶宛、俄罗斯和中国等地。这一全球化特点意味着用户可能面临来自世界各地的不同类型网络攻击，使得潜在的安全威胁更加复杂多变“DeepSeek”域名仿冒分布情况学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 仿冒DeepSeek域名 仿冒域名的形式多种多样，常见的有“deepsek

63、”“deepscek”“deeepseeek”等。这些域名与官方的“”和“”极为相似，容易误导用户，从域名注册机构查询，各种形式的仿冒域名均已被注册 用户自己访问网站时一定要仔细核对域名，从官方渠道或正规应用商店下载 App；安装杀毒软件和安全插件；不点击不明链接学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 攻击示例：网站仿冒 使用黑客攻击即可轻易创建与目标网站外观、布局等高度相似的虚假网站 将仿冒网站上线后，即可诱骗用户输入账号密码等敏感信息，进而实施恶意行为学 习 交 流 可 以 加 A

64、I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 攻击示例：仿冒DeepSeek登录界面 仿冒的网站页面与DeepSeek登录页面外观完全一致 右侧为仿冒的DeepSeek登录页面学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 攻击示例：模拟用户登录仿冒站点 模拟用户使用自己的用户名和密码去登录仿冒的DeepSeek网站 仿冒网站通常是黑客搭建的，目的是骗取用户的个人信息，如账号、密码、身份证号、银行卡信息等。一旦用户在仿冒网站上

65、输入这些信息，就会被不法分子获取，可能导致个人隐私泄露，甚至账户资金被盗取学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 攻击示例：黑客收集用户登录信息 仿冒网站收集用户登录的用户名和密码是一种极其恶劣的网络犯罪行为 一旦用户输入，这些数据就会被立即传送给黑客后台。他们随后即可利用这些用户名和密码去登录用户的真实账户，获取用户数据学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题2：仿冒DeepSeek官方网站和域名收集用户信息 攻击示例：收集用户其

66、他信息 通过收集用户主机的操作系统版本、软件等信息，黑客可了解目标系统可能存在的漏洞，针对性地编写攻击代码或利用已知漏洞进行入侵 收集浏览器信息如版本、插件列表等，能帮助黑客发现可利用的浏览器漏洞，或针对特定浏览器定制钓鱼页面，提高攻击成功率学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）使用DeepSeek实现自动渗透攻击与传统手工渗透攻击存在显著差异，主要体现在以下几个方面：对比维度传统手工渗透攻击DeepSee

67、k辅助自动渗透攻击效率与速度依赖人工，耗时长，效率低自动化处理，效率高，速度快覆盖范围覆盖有限，难以覆盖复杂攻击面全面覆盖复杂攻击面，适应多种架构误报率误报率高（20%-40%）误报率低（低于3%）攻击链生成手工分析，耗时长（数小时至数天）自动生成，速度快（数秒至分钟）成本与可扩展性依赖高技能工程师，人力成本高，难以快速扩展部署成本低，适合中小企业，可快速扩展攻击能力依赖经验与规则库，难以发现未知漏洞强推理能力，可快速发现并验证零日漏洞防御对抗手动调整攻击策略，灵活性有限动态防御机制，快速适应攻击变种安全风险攻击过程相对透明，易被发现攻击隐蔽性强，可能利用模型推理漏洞绕过防御问题3：利用Dee

68、pSeek实现自动渗透攻击渗透阶段AI辅助点作用信息收集阶段收集信息DeepSeek可以快速从大量的网络资源、文档、论坛等渠道中提取与目标相关的信息，如目标系统的技术架构、应用类型、可能存在的漏洞类型等，帮助测试人员全面了解目标情报分析对收集到的各种情报进行关联分析，挖掘出潜在的攻击面和薄弱环节，例如通过分析目标公司的业务流程和技术选型，推测可能存在的安全风险点漏洞探测阶段漏洞识别基于对大量漏洞数据和相关知识的学习，DeepSeek能够根据目标系统的特征和输入输出信息，快速识别出可能存在的常见漏洞，如 SQL 注入、跨站脚本攻击（XSS）等，提高漏洞发现的效率代码生成对于一些已知类型的漏洞，D

69、eepSeek可以生成相应的漏洞利用代码框架或思路，为测试人员提供参考，减少手工编写代码的时间和工作量漏洞利用阶段风险评估DeepSeek可以综合考虑漏洞的严重程度、影响范围、利用难度等因素，对发现的漏洞进行风险评估，帮助测试人员确定修复的优先级验证测试DeepSeek可以生成一些测试用例和验证方法，帮助测试人员对漏洞进行进一步的验证和确认，确保漏洞的真实性和可利用性报告生成阶段内容生成DeepSeek能够根据测试结果，快速生成规范、详细的渗透测试报告，包括漏洞描述、影响分析、修复建议等内容，提高报告的效率和质量语言处理对报告内容进行语言润色和优化，使报告更易于理解和阅读，便于向非技术人员或管

70、理层进行汇报学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）使用DeepSeek可辅助渗透攻击的各个阶段问题3：利用DeepSeek实现自动渗透攻击 攻击示例：目标信息收集 使用 nmap 进行手动扫描并获取结果，本例要扫描的目标是 192.168.9.212，实际使用时替换为真实的目标 IP 地址或域名，且确保对目标的扫描是合法合规的学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：发给Deepseek进行分析 在全端口扫描中，发现了一些开放端口，比如

71、445、5000、7000等端口处于开放状态。对于这些开放端口，目前不清楚对应的具体服务及潜在的安全风险，希望DeepSeek帮忙分析这些开放端口可能存在的安全隐患学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：Deepseek生成可运行的脚本学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：运行Deekpseek生成的脚本 脚本对目标自动进行扫描，并通过API自动与DeepSeek进行交互获取标准

72、格式化结果学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：获取分析结果 通过API获取DeepSeek的分析结果，并按照Prompt的格式输出学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：攻击测试 直接执行DeepSeek反馈的指令进行攻击学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：执行攻击

73、自动启动MSF并加载攻击载荷进行渗透攻击学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）问题3：利用DeepSeek实现自动渗透攻击 攻击示例：渗透成功 成功入侵“肉鸡”系统后可执行任何控制命令学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek外延安全问题的防范方法010203用户层面提高安全意识仔细辨别信息企业层面加强品牌保护防护与监测技术层面安装安全软件采用多因素认证学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek外延安全问题的防

74、范方法使用防病毒软件安装可靠的防病毒软件和防恶意软件，如 360 安全卫士、腾讯电脑管家等，并保持实时更新和防护状态。这些软件可以检测和拦截已知的仿冒网站和恶意应用程序，防止它们在设备上安装和运行开启浏览器防护利用浏览器的安全功能，如安全浏览模式、反钓鱼功能等。主流浏览器如 Chrome、Firefox 等都具备这些功能，能够自动检测并提醒用户访问的网站是否存在安全风险设置身份验证对于重要的账户，开启多因素认证，如密码加验证码、指纹识别、面部识别等。即使用户不小心在仿冒网站上输入了密码，没有其他认证因素，攻击者也无法登录账户，增加账户的安全性技术层面用户层面企业层面学 习 交 流 可 以 加

75、A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek外延安全问题的防范方法谨慎点击链接避免点击来源不明的链接，尤其是那些看起来可疑或诱人的链接，如“中奖”“优惠”等链接。对于邮件、短信、社交媒体等渠道收到的链接，要仔细核实发送者身份和链接地址，可将鼠标悬停在链接上查看实际网址，看是否与官方网址相符留意应用来源只从官方应用商店或软件的官方网站下载应用程序，如苹果 App Store、谷歌 Play Store、华为应用市场等。避免从不可信的第三方网站或不明渠道下载应用，以防下载到仿冒应用技术层面用户层面企业层面细看网址域名认真查看网站的域名，注意是否存在拼写错误、额外

76、的字符或与官方域名相似但有细微差别的情况。仿冒网站常采用与知名网站相似的域名来迷惑用户，如将“baidu”写成“baidv”等学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）DeepSeek外延安全问题的防范方法注册商标和域名企业应及时注册自己的品牌商标和相关域名，防止仿冒者利用相似的商标和域名进行欺诈。同时，定期监测网络上是否存在侵权和仿冒行为，发现问题及时采取法律措施发布官方声明在官方网站、社交媒体账号等渠道发布声明，提醒用户注意防范仿冒网站和应用程序，告知用户官方的网址和应用下载渠道，以及识别仿冒的方法建立监测系统在自身应用程序中采用安全技术，

77、如数字签名、代码混淆等，防止应用被篡改和仿冒。同时，对应用的更新进行严格管理，确保用户下载的更新是来自官方的安全版本技术层面用户层面企业层面学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）总结1.本次讲座聚焦于DeepSeek平台的安全性与可靠性，围绕其面临的模型5大安全问题（DDoS攻击、无限推理攻击、漏洞探测与利用、投毒问题和越狱问题）、私有化部署的2大安全问题（本地化部署工具漏洞和网络攻击风险）以及外延的3大安全问题（仿冒APP与仿冒网站收集信息、辅助攻击）展开深入探讨。2.讲座通过实际演示攻击过程，帮助不同用户群体理解潜在风险，并提出针对性的

78、防范策略，旨在提升用户的安全意识，确保在使用DeepSeek时能够有效应对各类安全挑战。3.需要说明的是，本讲座中涉及到的安全和法律问题，很多并不是DeepSeek独有的问题，也会是大多数大模型的常见问题，有些问题甚至是整个人工智能行业、以及互联网行业的问题。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）补充说明1.本系列讲座是在2025年春节后展开的针对新的DeepSeek模型原理和应用的系列内部讲座，2月底部分讲座内容开始在网络上流传。为了致敬DeepSeek的开源精神，我们决定未来会在讲座结束后两周左右开源讲座内容，希望对大家有所帮助。2.本

79、系列讲座内容是由“AI肖睿团队”联合北大部分院系和实验室的老师共同完成的，我们秉持着“专业、落地”的理念，也欢迎更多的有着专业能力和AI热情的团队和个人加入我们的团队（微信号ABZ2180）。3.截至今日（2025年3月13日），在互联网上已经可以找到三次系列讲座的内容（2月20日、22日、24日，我们可以称为三弹），这一次的内容（2月26日）可以称为第四弹。另外，互联网上还有两次内部讲座的DeepSeek内容（DeepSeek原理和应用，3月1日和3月5日，内容重复比较多），讲座当天即发给了在场听众，我们可以称为两个番外。学 习 交 流 可 以 加 A I 肖 睿 团 队 微 信 号（A B Z 2 1 8 0）感谢各位老师和同学的批评指导欢迎会后沟通交流99