另一个在DeepSeek私有化部署或本地部署中常用到的工具Ollama也被发现存在安全隐患。
近日,奇安信资产测绘鹰图平台监测发现,8971个运行了0llama大模型框架的服务器中,有6449个活跃服务器。其中,88.9%的服务器“裸奔”在互联网上,使得任何人不需要任何认证即可随意调用,并在未经授权的情况下访问这些服务,从而导致数据泄露和服务中断,甚至可以发送指令删除所部署的DeepSeek、Qwen等大模型文件。
安全专家建议,所有部署DeepSeek服务的企业和个人应立即采取有效的安全防护措施。此外,个人用户需要警惕不知名厂商提供的DeepSeek大模型服务,一些不良厂商在使用被盗资源对外售卖、骗取钱财的同时,还实时监控用户提交的所有数据,造成用户隐私泄露。
亟待构筑安全防线
业内人士认为,守护大模型安全将是一场旷日持久的网络攻防博弈,为AI产业构筑安全可靠的网络防线势在必行。
奇安信安全专家龚玉山认为,包括DeepSeek在内的国产大模型,面临的安全风险涵盖了数据安全风险、训练语料安全风险、使用安全风险、应用安全风险、软件供应链安全风险、生成内容风险、大模型自身风险等,急需全面、体系化的安全防护方案。
对此,受访专家提出了三点建议:首先,做好风险暴露面管理,夯实网络安全基础防护。对于一家大模型公司而言,安全风险不仅仅来自于单个大模型服务,更来自于整家公司。毕竟,公司对外业务开放的同时势必存在很多暴露面,包括数据库授权访问、API接口访问、云服务、域名服务等,这些均有可能成为攻击者的目标,一旦失守,就会导致大规模数据泄露。因此,大模型企业需要做好风险暴露面管理,实施严格的访问控制措施,如建立身份验证和授权机制,限制对API、数据库的访问等。同时,也要做好网络、终端、云、服务器、数据库等基础网络安全防护措施,最大程度减少外部威胁。
|
