警惕本地部署DeepSeek被“偷家”!漏洞跟它密不可分

头像

南方都市报

2025-03-18 17:56发布于广东南方都市报官方账号

AI划重点 · 全文约2069字,阅读需6分钟

1.大模型部署工具Ollama存在严重安全风险,90%的私有部署服务器“裸奔”在互联网上,容易受到攻击。

2.专家建议立即修改Ollama配置,加入身份认证手段,以保护大模型服务器的数据和算法完整性。

3.由于Ollama默认开放访问端口,攻击者可以直接访问并调用模型接口,窃取训练数据、模型参数等。

4.为此,企事业单位应关注数据安全、模型可控、攻击管理等开源模型带来的风险。

5.专家呼吁合理划定各类主体的责任边界,建立对开源模型生态的国际信任,构建大模型开源生态的协同治理体系。

以上内容由腾讯混元大模型生成,仅供参考

图片

当几千台DeepSeek服务器穿着“皇帝的新衣”在互联网上蹦迪,网络安全圈炸了:“黑客都不用破门,直接推窗就能偷家!”——这一现象的核心症结,指向一款大模型部署工具“Ollama”。

今年的全国两会现场,第十四届全国政协委员、奇安信董事长齐向东发出警示:“有几千家单位接入了DeepSeek大模型私有部署。但是扫描发现,90%‘裸奔’,通过简单的攻击语句就能控制大模型,甚至拿到后台数据。”

自DeepSeek火爆出圈以来,从医院到高校、从政务领域到金融服务,每天都有大量新成员加入私有化部署阵营。那么,这些服务器究竟是不是在“裸奔”?安全隐患有多严重?

先说结论:安全配置不当,风险随时“引爆”!专家建议,立即修改Ollama配置,加入身份认证手段!

Ollama存在严重安全风险

为主流大模型工具

此次热传的“裸奔”事件中,矛头指向的是一款名为“Ollama”的大模型工具。准确来说,奇安信资产测绘鹰图平台2月监测发现,在8971个Ollama大模型服务器中,有6449个活跃服务器,其中88.9%都“裸奔”在互联网上。

什么是 Ollama?相关资料显示,这是一个本地私有化部署大语言模型的运行环境和平台,支持DeepSeek-R1等1700多个模型的高效部署与管理,可将它比作一间装满智能家具的“仓库”,能帮你快速搬出“DeepSeek全屋管家”“Qwen智能空调”“Llama扫地机器人”这些高端设备。而“裸奔”意味着,“仓库”默认不装门锁,路人随便溜进来:有人偷开“DeepSeek管家”乱调室温,有人拆走“Qwen空调”零件卖钱……

图片

 *Ollama网站页面。

目前, Ollama已成为主流的大模型本地化部署工具。360全球互联网测绘数据显示,2025年1月至2月,仅一个月时间全球基于Ollama私有化部署大模型的数量增长超566%。

3月3日,国家信息安全漏洞库(CNNVD)收到关于Ollama安全漏洞情况的报送。称未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。3月4日,国家网络与信息安全信息通报中心发布通报,指出大模型工具Ollama存在严重安全风险。

存在“默认开放访问端口漏洞

专家建议立即修改配置

那么, Ollama究竟存在什么漏洞?又是如何被“偷家”的?

清华大学网络空间测绘联合研究中心分析,使用Ollama在本地部署DeepSeek等大模型时,会在本地启动一个Web服务,并默认开放访问端口,且无身份验证机制,该服务直接暴露在公网环境,攻击者可以直接访问并调用模型接口,窃取训练数据、模型参数,甚至删除或篡改模型文件,造成模型服务的核心数据、算法完整性和运行稳定性面临安全风险。

对此,有专家建议,所有部署DeepSeek服务的企业和个人应立即采取有效的安全防护措施,包括立即修改Ollama配置、加入身份认证手段等。

南都大数据研究院了解到,当前,不少企事业单位依托拥有高性能计算资源的平台开展本地部署,以寻求更安全的部署环境和技术:比如广东财经大学华南师范大学均基于中国电信天翼云智算平台部署“满血版DeepSeek”;佛山市人工智能应用赋能中心、广州人工智能公共算力中心等实现了DeepSeek在国产及主流算力架构上的无缝适配,为高校、政府、企业提供全栈私有化部署服务。

面对不断扩张的部署规模,广州人工智能公共算力中心相关负责人向南都记者透露,该中心目前正在开展一系列应对、升级、研讨等动作,加急探索数据全生命周期安全、模型行为可控性、系统攻击面管理等解决方案。

防范服务器“裸奔”等风险

需聚焦数据安全模型可控、攻击管理等

开源模型既带来技术红利,也引致应用风险。阿里研究院数字经济研究中心副主任、CIDEG兼职研究人员傅宏宇指出,DeepSeek开源模型的风险主要集中在数据安全和安全漏洞两个方面。其中,数据安全风险主要表现为敏感数据的攻击泄露以及思维链数据泄露;安全漏洞风险则包含网络安全、内容安全、偏见与歧视、代码安全、CBRN(化学、生物、放射和核能)安全等方面。

广州人工智能公共算力中心主任李学军也曾公开谈到,在政务单位使用人工智能公共算力中心提供的模型时,保障数据安全与信息安全是核心任务,需重点关注数据全生命周期安全、模型行为可控性、系统攻击面管理三个方面问题。

当前,无论是理论还是实践层面,关于算法与数据风险及其治理议题、对象,还未有清晰的治理方案,而DeepSeek新技术路线的出现令原先本就急迫且棘手的治理格局陷入了更加复杂的氛围之中。清华大学公共管理学院副教授、CIDEG副主任赵静认为,“如何规制融合感知、决策、预测、协同能力的高度自主性技术的失范风险”,将成为未来面临的最大技术治理难题之一。她指出,开源模型可让众多的开发者本地化部署,这在无形中也会增强私营部门数据保护机制建设,全社会数据治理的监管成本可能随之下降。不过,过度的透明度可能使模型更容易受到攻击,开源“污染”问题和AI幻觉依然是技术专家担心的议题。

在傅宏宇看来,目前对模型开源的风险形成了两类治理思路。一类考虑开源模型的“全量风险”,以事前风险防范为核心;另一种治理思路是分析模型开源独有的“增量风险”,即与来自现有其他可比技术的风险相比的新增独特风险。基于此,他建议合理划定各类主体的责任边界,建立对开源模型生态的国际信任,推动安全公共知识的积累和认知协同,从而构建大模型开源生态的协同治理体系。

出品:南都大数据研究院

AI治理研究小组

采写:南都记者 张雨亭