据清华大学网络空间测绘联合研究中心分析，开源跨平台大模型工具Ollama默认配置存在未授权访问与模型窃取等安全隐患。鉴于目前DeepSeek等大模型的研究部署和应用非常广泛，多数用户使用Ollama私有化部署且未修改默认配置，存在数据泄露、算力盗取、服务中断等安全风险，极易引发网络和数据安全事件。 一、风险隐患详情 使用Ollma在本地部署DeepSeek等大模型时，会在本地启动一个Web服务，并默认开放11434端口且无任何鉴权机制。该服务直接暴露在公网环境，存在以下风险： 1、未授权访问：未…

最新分析发现，在公开爬取的网络数据中，DeepSeek 的 11908 条 API 密钥、密码及身份验证令牌遭到曝光。 据网络安全公司 Truffle Security 披露，这一研究凸显了 AI 模型在未经筛选的互联网数据训练下，可能会内化并复现不安全的编码模式。 此前已有研究表明，大型语言模型（LLM）常建议在代码中硬编码凭据，这引发了关于训练数据如何影响开发实践的讨论。 Truffle Security 通过扫描 Common Crawl 2024 年 12 月的数据集（约 400TB 数…

对于企业而言，AI既是提升生产力的强大工具，同时也为攻击者和恶意内部人员提供了“大杀器”。随着生成式AI（例如ChatGPT和DeepSeek）在企业和政府机构中的广泛应用和不安全部署，“万模裸奔”产生的数据安全风险已经到了失控的边缘。 2025年是AI安全元年，首席信息安全官（CISO）们必须提前做好准备，应对“万模裸奔”引发的数据安全危机。 警惕数据的“智能化泄漏” 与传统IT系统不同，生成式AI引入了全新的攻击媒介，可导致数据泄漏、业务中断甚至法律风险例如： 提示注入：恶意行为者操纵AI提…

安全内参2月10日消息，DeepSeek大模型公开发布仅数周后，复杂的“大模型劫持”（LLMjacking）黑产团伙便已成功盗取访问权限。 大模型劫持与代理劫持、加密劫持类似，都是攻击者为自身利益非法占用他人的计算资源。利用这一攻击手法窃取的API密钥，攻击者可以使用OpenAI、Anthropic等公司提供的流行且昂贵的大模型来生成图像、绕过封禁等，而账单却转嫁给无辜的受害者。 最近，云安全厂商Sysdig的研究人员发现，一些活跃度极高的大模型劫持操作已整合了对DeepSeek开发模型的访问权…

近日，外媒称DeepSeek应用在苹果iOS系统上的一项新审计中发现了严重的安全问题，其中最突出的是该应用在未加密的情况下通过互联网传输敏感数据，使其容易受到拦截和篡改攻击。 未加密传输与数据收集问题 此次评估由NowSecure进行，该公司还发现该应用未能遵循最佳安全实践，并收集了大量用户和设备数据。NowSecure表示：“DeepSeek iOS应用通过互联网传输部分移动应用注册和设备数据时未进行加密，这使得互联网流量中的任何数据都容易受到被动和主动攻击。” 此外，审计还揭示了在用户数据加…

研究概述：NFTEvening与Storible合作开展了一项研究。该研究利用BIP39单词列表，分析了8570万个组合，并通过测试人工智能中的长短期记忆（LSTM）网络，来探究AI是否能够恢复丢失的加密货币助记词。 人工智能的能力：经过30天的训练，AI神经网络每秒能进行994,051次猜测预测，能够在0.02秒内复原一个缺失的单词，两秒钟复原两个单词，而完全恢复三个单词需要2.28小时。恢复四个单词则需时更长，达到178个小时。随着缺失单词数量的增加，所需时间呈现指数级的增长。 长短期记忆网…

2025年开年，由国人研发的AI大模型DeepSeek火出天际。 尤其是自DeepSeek-R1发布，十余天内，在全球范围内快速掀起关注热潮，成为AI发展历史上的现象级事件之一。上至各国政要，下至十几亿普通用户，以及大量创投、AI和科技型公司，都在讨论、研究和热议DeepSeek。 但与此同时，DeepSeek也深陷网络攻击的风暴之中，遭遇了持续、大规模、高密度的恶意网络攻击，导致其服务时常处于中断状态，显示为“服务器繁忙，请稍后再试”，严重影响正常用户的使用体验。 针对DeepSeek 的攻击…

2月5日，奇安信XLab 实验室最新报告称，仿冒 DeepSeek的网站、钓鱼网站已经超过2千个，并还在快速增加中，用户需要高度警惕。这些仿冒网站利用相似的域名和界面来误导用户，用来传播恶意软件、窃取个人信息或骗取订阅费用。此外，骗子紧跟技术潮流，利用市场的兴奋情绪，还推出了所谓“DeepSeek 加持”的各种高大上功能的空气币（无实质价值的虚拟货币），甚至出现宣称可以购买DeepSeek内部原始股的网站。这种模式与过往许多科技爆款（如 ChatGPT）在爆火后迅速出现大量仿冒和诈骗的趋势高度相…

近期，AI初创公司DeepSeek凭借其先进的AI模型，尤其是R1推理模型，迅速吸引了业界的广泛关注。然而，其快速崛起也引发了网络犯罪分子的觊觎，他们利用DeepSeek的知名度，发动了一系列复杂的网络攻击和诈骗活动。这些威胁主要包括假冒网站、恶意软件分发以及虚假加密货币代币和IPO前股票的诈骗。 假冒网站与恶意软件分发 其中最为令人担忧的是，一些不法分子搭建了假冒DeepSeek官网的网站，诱导用户下载恶意软件。这些假冒网站伪装成DeepSeek的官方平台，声称提供DeepSeek的AI模型下…

恶意软件包正悄然侵袭 Python 存储库，其目标直指那些有意向将 DeepSeek 融入自身工作流程的开发人员与工程师。 近期，DeepSeek 在人工智能领域掀起了一阵轩然大波，促使科技巨头们加速推进自家 AI 模型的发展进程，普通 AI 爱好者与工程师也进行了尝试。在这股全民热捧的浪潮之中，不法分子妄图趁虚而入，利用那些渴望将 DeepSeek 应用到自身业务中的人员。 Positive Technologies 的研究人员察觉并成功阻止了一起针对 Python 包索引（PyPI）存储库的…