DeepSeek爆资安灾难！超100万笔数据外泄，API金钥、用户对话纪录全看光

中国 AI 新创公司 DeepSeek 发表的 AI 模型本周迅速崛起，也让该服务受到更多关注，然而，纽约云端资安公司 Wiz Research 周四发布报告指出，DeepSeek 竟将一个关键资料库暴露在网路上，外泄超过 100 万笔记录，包括系统日志、 API 认证金钥和用户聊天纪录。 （前情提要：OpenAI怒控DeepSeek侵权创作者反酸：最大的小偷喊抓贼、美国海军下令封杀DeepSeek） （背景补充：OpenAI已掌握证据「DeepSeek侵权」，盗用GPT distillation技术训练中国AI） 中国 AI 新创公司 DeepSeek 发表的 AI 模型近来迅速走红，但也引发全球监管机构与政府的关注，对其隐私、审查机制及中资背景是否带来国安风险提出质疑，OpenAI 已指控 DeepSeek 侵权，美国海军也以安全和道德风险为由，下令全面禁用 DeepSeek 。 DeepSeek上百万笔资料外泄 纽约云端资安公司 Wiz Research 周四更发布报告指出，该公司在扫描 DeepSeek 一个可公开造访的资料库后发现，DeepSeek 意外外泄超过 100 万条未受保护资料，包括系统日志、 API 认证金钥、聊天纪录，似乎是从用户向 DeepSeek 发送的讯息取得。 该研究显示，任何人只要发现该资料库，都能自由存取这些数据，Wiz 联合创办人 Ami Luttwak 透露，在该公司向 DeepSeek 发出警告后，这些资料很快地获得保护： 他们在不到 1 小时就将资料移除… 但这些资料是如此容易被找到，相信我们并不是唯一发现的人。 Wired 报导，暴露在开放网路上、任何人都能访问的资料库，一直是企业和云端服务提供商努力解决的长期问题，但 Wiz 研究人员强调，他们发现的 DeepSeek 资料库几乎是立即可见，仅需最基本的扫描即可发现。 研究人员发现，这批数据似乎存放于 ClickHouse 资料库，这是一种常见的开源资料库，通常用于伺服器分析，而外泄的资料也与此吻合，包括用户在 DeepSeek 平台上的操作记录、输入的指令，以及用于身份验证的 API 金钥。 轻易外泄引安全疑虑 Wiz 资安漏洞研究负责人 Nir Ohfeld 表示，通常当该公司发现此类漏洞时，都是在某个被忽视的服务中，需要花数小时扫描才会找到，但这次完全不同，DeepSeek 的资料库几乎就摆在眼前： 发现这个漏洞的技术难度是最低的。 Wiz 研究人员只进行最低限度的数据分析，但他们推测，恶意攻击者若能获得这些资料，甚至可能利用该漏洞，进一步渗透 DeepSeek 的其他系统，甚至执行远端程式码攻击。 Wiz 技术长 Ami Luttwak 指出，这表明 DeepSeek 的服务尚未成熟，根本不适合用于任何敏感数据，发生错误是难免的，但此次错误非常严重，因为该公司几乎不需花费任何精力，就能获取如此高层级的访问权限。 相关报导 Deepseek R1打通「DeFAI新时代」，开源与AI代理出现什么新路径？ DeepSeek推出AI 多模态开源模型「Janus-Pro」，图像生成碾压 DALL-E 3、Stable Diffusion DeepSeek 对加密 AI 赛道形成降维打击，普跌之下哪些专案值得关注？ 〈DeepSeek爆资安灾难！超100万笔数据外泄，API金钥、用户对话纪录全看光〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。