复盘 DeepSeek 开年的安全连环爆事件-华盟网

复盘 DeepSeek 开年的安全连环爆事件。既不站队攻击方，也不同情防守方——咱们就吃瓜群众视角，看一场典型的”AI 狂飙×安全滞后”大戏。

从3月29日晚上22点开始，一直到30日早上7点，DeepSeek服务出现大规模访问异常，大量用户遭遇页面卡顿、反复提示“服务器繁忙”甚至功能完全中断的情况，相关话题半小时内冲上热搜，引发全网热议。

事件报告显示，3月29日21:35，DeepSeek发现网页、App服务异常并进行调查。当日23:23，DeepSeek宣布初步解决该事件，服务一度恢复。

3月30日00:20，DeepSeek再次出现网页/APP性能异常，官方启动二次调查，并于当日1:24实施修复方案。此后，DeepSeek又于2:16再次启动调查，于9:13宣布实施新一轮解决方案。

一、开场：顶流出道的「安全阵痛」

一边是 DeepSeek 在 2025 年春节前火出圈——R1 模型性能对标 OpenAI ，价格却打到骨折，直接把美股科技股干震颤了; 另一边是安全圈吃瓜群众手里的瓜还没吃完，就听说这家 AI 新贵的「安全连环爆」事件。

短短一个月内， DeepSeek 连中数招：•数据库「开门迎客」： Wiz Research 团队扫端口时发现， DeepSeek 的两个子域名下藏着完全开放、无需认证的 ClickHouse 数据库，超过 100 万行日志裸奔在互联网上（来源：安全内参 | 2025 年 1 月 29 日）•聊天记录全透明：泄露内容包括用户聊天历史、 API 密钥、后端操作数据，甚至「对数据库的完全控制权」•XSS 漏洞连环爆： 1 月底被发现基于 DOM 的 XSS 漏洞，源于 postMessage 事件处理不当；修复方案没热乎呢， 2 月 1 日又一个 XSS 漏洞被扒出来（来源： CSDN | DeepSeek 技术社区）•DDoS 攻击余波未平：春节期间官网遭遇大规模流量攻击，服务一度瘫痪•韩国下架整改： 2 月 15 日起，韩国个人信息保护委员会（ PIPC ）暂停 DeepSeek 在应用商店的新用户下载，理由是「数据收集存在安全隐患」（来源：知乎专栏 | 韩国审查事件解读）

二、第一爆： ClickHouse 数据库的「裸奔惊魂」

2.1 事件还原：端口扫描扫出个「大礼包」

2025 年 1 月 29 日，美国网络安全公司 Wiz Research 发布报告，披露了 DeepSeek 的一个严重安全漏洞。

事情经过是这样的：

某安全团队在对 DeepSeek 进行互联网资产扫描时，发现两个子域名下的特定端口无需任何身份验证即可访问。进一步探查后发现，这两个端口背后连着一个 ClickHouse 数据库——而且完全开放，任何人都能查询、操作，甚至「完全控制数据库」。（来源：光明网 | 2025 年 2 月 18 日报道）

泄露的数据有多敏感？

根据 Wiz 的报告，这个数据库暴露了： – 超过 100 万行日志流 – 用户聊天记录 – API 密钥 – 后端操作数据 – 其他高度敏感信息

这事儿吧，让我想起了那句老话：「最危险的地方就是最安全的地方」——但 DeepSeek 显然把前半句当真了，后半句忘了。

ClickHouse 是个好东西，性能杠杠的，但默认配置下它是监听本地地址的。如果配置的时候没改 bind 地址，或者防火墙规则没配好，那可不就是「开门迎客」嘛。

2.2 配置即安全，基础不牢地动山摇

ClickHouse 默认安全配置： – listen_host 默认是 localhost —— 如果部署时不改成 127.0.0.1 或内网地址，就可能绑定到公网 – 默认无认证 —— 需要手动配置用户权限 – 数据库端口（ 8123 HTTP, 9000 Native ）一旦暴露，就是「裸奔」

DeepSeek 这次的问题，说到底就是「开发速度 > 安全投入」的典型症状。 AI 公司都在抢时间、抢市场，谁还顾得上检查数据库监听地址配没配对？

但这就是问题所在：在网络安全的世界里，没有「小配置」，只有「大漏洞」。

三、第二爆： XSS 漏洞的「连环套」

3.1 postMessage 的「信任危机」

如果说数据库暴露是「配置失误」，那 XSS 漏洞就属于「代码层面的信任问题」了。

根据安全社区披露， DeepSeek 平台被发现存在一个基于 DOM 的 XSS 漏洞，问题的根源在于对 postMessage 事件的处理不当：

“该函数直接使用 document.write… 转义有效负载中的 HTML/JavaScript 内容。”（来源： CSDN | DeepSeek 技术社区）

简单说就是：消息来了不验来源，内容来了不做过滤，直接往页面里塞。

这就像是门口保安看到有人送信，不问是谁送的、不检查信封里装的啥，直接就送到总经理办公室了。要是信里塞的是「惊喜」，那可就热闹了。

postMessage XSS 的经典套路： 1. 攻击者构造恶意页面，通过 postMessage 向目标窗口发送 payload 2. 目标页面接收消息时不验证 origin 3. 消息内容直接被插入 DOM ， JavaScript 代码执行 4. 攻击者可盗取用户会话、发起钓鱼攻击，甚至控制用户账号

3.2 修复的速度赶不上发现的速度

更尴尬的是，这波 XSS 是个「连续剧」：•1 月 31 日：第一个 XSS 漏洞被发现•2 月 1 日：官方修复完成 —— 效率还挺高•同一天：又一个 XSS 漏洞被扒出来

这就好比给漏水的桶打了一个补丁，刚想松口气，发现桶的另一边漏得更凶了。

这暴露了一个问题：安全修复不能是「头疼医头，脚疼医脚」的补丁式应对，需要有系统性的代码审计和安全开发生命周期（ SDL ）。

四、第三爆：模型层的「暗度陈仓」

除了应用层面的漏洞， DeepSeek 在模型层也面临着严峻的安全挑战。

根据安全研究机构的报告（来源： AITNT News | 2025 年春节特稿）， DeepSeek 遭遇的攻击包括：

4.1 梯度反转攻击与后门植入

「通过梯度反转攻击，在 72 小时的微调过程中植入隐蔽后门，使特定政治敏感词的生成错误率提升 47%」

这波操作牛的：高级持续性威胁（ APT ）+ AI 供应链投毒，直接把战场拉到了模型参数层面。

攻击者不是来偷数据的，是来「调教」模型的 —— 让你在特定问题上「犯糊涂」，从而影响输出结果的可靠性和公正性。

正确解法： – 微调过程需要在零信任环境下进行 – 采用模型权重签名和完整性验证 – 定期进行红队对抗测试，检查模型输出是否存在偏见或后门

4.2 模型反演与数据恢复

更狠的是这招：

「黑客利用模型反演技术，成功从推理 API 恢复训练数据，甚至包含 30 万条 xx 记录」

深度学习模型有个特点：它不是真正的「黑箱」。通过精心设计的输入和输出分析，有可能「反推」出训练数据的部分特征。

1.2TB 的训练数据被复原，这事儿给所有 AI 公司敲响了警钟：数据隐私风险比想象中更严重。

模型反演攻击的原理并不复杂 —— 利用模型对特定输入的置信度反应，通过迭代优化反推出训练集中相似样本的特征。防御起来却不容易：•差分隐私：在训练过程中加入噪声，模糊单个样本的影响•输出截断：限制 API 返回的置信度信息粒度•查询限制：监控异常查询模式，限制单用户的查询频次

五、第四爆：韩国下架与全球信任危机

应用层面的漏洞、模型层面的攻击，最终都指向一个问题：用户数据的保护到底靠不靠谱？

5.1 韩国监管出手

2025 年 2 月 17 日，韩国个人信息保护委员会（ PIPC ）宣布：

自 2 月 15 日起，暂停 DeepSeek 在韩国应用商店的新用户下载，现有用户仍可使用，但建议「避免输入敏感信息」。网页版服务未受影响。

官方理由是「数据收集存在安全隐患」，需要依据《个人信息保护法》进行整改。

监管介入是用「外部压力」倒逼安全改进的有效手段。虽然有点疼，但总比真出大事强。

5.2 仿冒网站的「趁火打劫」

更魔幻的是， DeepSeek 火出圈之后，仿冒网站也跟着泛滥了。

中国日报网的报道提到：「一些不怀好意者趁机仿冒 DeepSeek 网站，企图对网民实施欺诈。」

这就是典型的「品牌红利期的安全阴影」 —— 用户量大、关注度高的产品，必然会成为钓鱼攻击的目标。

六、思考：攻守之间， AI 安全如何对齐？

说了这么多，来聊聊我视角的观察。

6.1 安全投入的非对称性

AITNT News 的报道里有个观点很扎心：

“Anthropic 和 OpenAI 等公司把安全视为『核武器级』任务，而 DeepSeek 还停留在『实验室思维』。”

这话可能有点重，但指出了核心问题：在 AI 狂飙的时代，安全投入必须跟上产品迭代的速度。

OpenAI 、 Anthropic 这类公司之所以安全表现相对较好，不是因为技术能力更强，而是因为安全被放到了和产品同等重要的位置。•有专门的红队（ Red Team ）定期攻击自家模型•有系统性的安全评估流程•有「 Responsible AI 」团队把关输出合规性

对比之下， DeepSeek 这次连环爆，反映出的是安全债的集中爆发。

6.2 从「实验室思维」到「生产级安全」

AI 公司从实验室走向生产环境，最大的鸿沟不是算力，不是数据，而是安全意识。

实验室思维： – 「我这只是个 demo 」 – 「先跑起来再说」 – 「安全问题以后再说」

生产级安全要求： – 「每个端口都要确认监听地址」 – 「每个输入都要验证来源和格式」 – 「每次训练都要确保供应链可信」 – 「每个模型输出都要经过安全审查」

DeepSeek 的遭遇不是个例，而是所有快速成长的 AI 公司都要面对的「成人礼」。

6.3 北大方案：防御策略的创新

文章开头提到的北大方案，其实提供了一个很好的思路：

“双通道验证系统”：在模型输出层部署实时知识图谱校验模块，通过将输出内容与权威数据库进行向量空间比对，当余弦相似度低于 0.7 时触发人工审核。

这个机制在金融领域的压力测试中，成功将错误信息漏报率从 12% 降至 0.3%。

关键是「纵深防御」—— 不依赖单一防线，而是在模型输出、用户交互、数据存储等多个层面建立多重防护。

七、结语

聊到这儿，咱们回归安全防护的核心理念：攻守之道，在于平衡。•这些攻击事件，用「端口扫描 + 零门槛数据库访问」证明了基础安全的重要性• deepseek的防守，暴露出「开发速度优先 × 安全投入滞后」的行业通病•用户和监管的反应，提醒 AI 公司「流量越大，责任越大」

DeepSeek 这波安全风波，不是终点，而是一个起点。它提醒我们：

AI 的发展不能只是「性能竞赛」，更应该是「安全对齐」。只有当技术进步与安全防护同步推进， AI 才能真正成为推动社会进步的积极力量，而不是埋在地下的「定时炸弹」。

这事儿从两边儿看都很有意思 —— 一边是技术突破带来的兴奋，一边是安全漏洞带来的警醒。而作为旁观者，我们能做的，就是从中学习：•如果你是开发者：记得检查数据库监听配置•如果你是用户：别在 AI 聊天框里输入银行卡密码•如果你是决策者：把安全预算编进 roadmap ，别等问题爆了再补锅

参考资料： 1. Wiz Research – DeepSeek Database Exposure Report (2025.01.29) 2. 安全内参 – 《 DeepSeek 数据库暴露：超百万条日志含敏感信息》 3. 光明网 – 《从 DeepSeek 遭网攻看大模型安全隐忧》(2025.02.18) 4. 中国日报网 – 《 DeepSeek 数据泄露背后： AI 大模型的安全挑战与应对》(2025.02.14) 5. 知乎专栏 – 《老王说暗网【第 1 期】 DeepSeek 已泄露 100 万数据》(2025) 6. DeepSeek 技术社区 – 《 Deepseek 安全故障： AI 网络防御的未来将何去何从？》(2025 版) 7. AITNT News – 《从 2025 年春节 DeepSeek 官网遭黑客攻击说起–AI 狂飙暗流与安全对齐》(2025)

作者：华盟编辑部投稿：「黑白之道」公众号声明：本文基于公开报道整理，仅供技术交流，不构成任何商业或法律建议

文章版权归作者所有，未经允许请勿转载。

THE END