常被称作 “中国版 OpenAI” 的 DeepSeek，近来遭遇了一场极为严重的分布式拒绝服务(DDoS)攻击。本文将深入探讨专家对于人工智能行业所面临安全挑战的观点，以及制定主动防御策略的紧迫性。

一、DeepSeek 究竟是谁?

DeepSeek - R1 是中国初创公司 DeepSeek 研发的一款大型语言模型(LLM)，作为领先的开源推理模型，它与 OpenAI 的 o1 系列不相上下。DeepSeek - R1 依据 MIT 许可协议发布，其训练方式主要采用强化学习，这与传统的大语言模型训练方法截然不同，彰显出行业朝着小型开源模型发展的趋势。DeepSeek 的实践表明，出色的工程设计必须兼顾性能与成本效益。

IBM 董事长兼首席执行官阿尔温德・克里希纳指出，DeepSeek 的经历证明，优秀的工程设计应在性能和成本两方面进行优化。“在 IBM，我们观察到，专用模型能够将人工智能推理成本降低多达 30 倍，从而实现更高效且更易实现的训练。”

截至 2025 年 1 月 31 日，DeepSeek 的 R1 模型在 Chatbot Arena 基准测试中位列第六，超越了 Meta 的 Llama 3.1 - 405B 和 OpenAI 的 o1 等模型。然而，在全新的人工智能安全基准测试 ——WithSecure 的简单提示注入评估与利用工具包(Spikee)中，R1 的表现却不尽人意。这一情况凸显出人工智能发展过程中的一个关键问题：过于侧重性能而忽视了安全。

二、DeepSeek 受攻击时间线

DeepSeek 近期出现的安全漏洞，暴露出一系列严重程度和潜在影响各异的问题。下面，让我们按照严重程度从高到低，来分析这些事件：

1. DDoS 攻击

2025 年 1 月，DeepSeek 遭受了一场严重的 DDoS 攻击。在 2025 年春节期间，当千家万户阖家团圆欢庆佳节之时，被誉为 “中国版 OpenAI” 的人工智能明星企业 DeepSeek，却陷入了有史以来最为严峻的安全危机。

攻击规模：黑客发动了一场前所未有的 3.2Tbps DDoS 攻击，这相当于每秒能够传输 130 部 4K 电影。

影响：DeepSeek 官方网站瘫痪长达 48 小时，全球客户和合作伙伴都受到影响，造成了数千万美元的损失。截至本报告完成时，官方 API 服务仍未完全恢复，国际用户依旧无法完成注册。此次 DDoS 攻击的目标是 DeepSeek 于 2025 年 1 月初发布的最新开源模型 DeepSeek - R1，且攻击时间恰好与 2025 年 1 月 28 日发布的多模态模型 Janus - Pro 重合。DDoS 攻击主要导致 DeepSeek 的注册服务无法使用。

2. XSS 漏洞

DDoS 攻击之后，DeepSeek 又面临严重的跨站脚本(XSS)漏洞。2025 年 1 月 31 日，在 DeepSeek 的 CDN 端点检测到一个基于 DOM 的跨站脚本漏洞。该漏洞是由于对 postMessage 事件处理不当导致的，攻击者可以在不进行适当来源验证或输入清理的情况下，将恶意脚本注入文档上下文。这一漏洞可能导致攻击者劫持用户会话、窃取敏感信息，甚至发起网络钓鱼攻击。

3. ClickHouse 数据库泄露

Wiz Research 最近发现，DeepSeek 的基础设施存在重大安全漏洞，通过可公开访问的 ClickHouse 数据库，大量敏感数据被暴露。

4. 模型投毒

这是一种更为隐蔽的威胁。攻击者利用 DeepSeek API 中的漏洞注入对抗样本，试图操控模型的行为和输出。这种攻击可能产生长期的不良后果，比如降低模型性能、引入偏差，甚至让恶意代码得以执行。

DeepSeek 对 Common Crawl 等大型公开可用数据集的依赖，进一步加大了这种风险，因为攻击者有可能向这些数据源注入恶意数据，从而污染模型。这一事件凸显出针对模型投毒建立强大防御机制的迫切需求，包括数据验证、异常检测和模型监控。

5. 模型越狱

DeepSeek 的模型，包括 V3 和 R1，被发现容易受到越狱技术的操控。帕洛阿尔托网络公司(Palo Alto Networks)的研究人员利用 “欺骗性喜悦”(Deceptive Delight)、“不良李克特评判”(Bad Likert Judge)和 “渐强”(Crescendo)等方法，成功实现了对模型的越狱。这些技术利用了模型安全机制中的漏洞，使得攻击者能够绕过限制，进而有可能未经授权访问信息或操控模型行为。

DeepSeek 迫切需要重视并投入资源建立强大的安全措施，包括对抗训练、延长日志保留时间和加快事件响应速度，以此降低漏洞风险，防范日益复杂的网络威胁。

三、如何保护人工智能模型

DeepSeek 的数据泄露暴露了内部安全的薄弱环节，而通过员工网络安全意识培训，原本可以减轻这些问题。定期培训项目应该向工程师、研究人员和员工传授安全编码实践、网络钓鱼防范意识、提示注入风险以及人工智能特定的攻击向量等知识。同时，应该开展模拟网络钓鱼活动和安全演练，确保团队有能力识别并应对威胁。

为了防止出现类似chat.deepseek.com上的 XSS 漏洞，平台需要对用户生成的代码输入进行清理。要确保进行适当的输入 / 输出清理，并实施脚本沙盒。例如，在未首先验证的情况下，切勿直接渲染和执行人工智能生成的代码。

通过持续的红队评估，对所有人工智能接口、API 和后端服务进行持续的安全渗透测试。此外，设立漏洞赏金计划，鼓励道德黑客在恶意行为者利用漏洞之前，负责任地披露漏洞。