专家标记安全性，DeepSeek AI应用中的隐私风险

专家标记安全性，DeepSeek AI应用中的隐私风险

DeepSeek AI应用自2025年1月25日发布以来，迅速跃居Apple Store第三大免费应用和Google Play榜首。然而，其快速崛起背后却隐藏着严重的安全风险。移动安全公司NowSecure发布报告指出，DeepSeek应用存在多个安全漏洞，包括未加密传输用户数据、使用过时的加密算法等。目前，美国国会、意大利、台湾等地已采取行动禁止使用该应用。

中国人工智能（AI）公司的新移动应用DeepSeek自2025年1月25日首次亮相以来，一直是Apple和Google设备的前三名免费下载。然而，这款应用却存在诸多安全隐患，它将未加密的用户和设备数据发送给中国公司，引发了广泛的安全性和隐私担忧。

公众对DeepSeek AI聊天应用程序的兴趣广泛膨胀媒体报道说，新贵中国人工智能公司设法匹配了尖端聊天机器人的能力，同时使用了带领AI公司依靠的专用计算机芯片的一小部分。截至撰写本文时，DeepSeek是Apple Store上第三大的免费应用程序，在Google Play上排名第一。

DeepSeek的快速上升引起了移动安全公司的注意。NowSecure是一家位于芝加哥的公司，可帮助客户筛查移动应用程序的安全和隐私威胁。在拆卸NowSecure在今天发布的DeepSeek应用程序中，敦促组织从其环境中删除DeepSeek iOS移动应用程序，理由是安全问题。

NowSecure创始人安德鲁·霍格（Andrew Hoog）表示，他们尚未得出对DeepSeek应用程序的深入分析，特别是针对安卓设备，但是没有理由相信其基本设计在功能上会大不相同。

Hoog指出，DeepSeek iOS应用程序存在多个安全风险。首先，该应用收集大量用户设备数据，包括设备名称等信息。这些数据与用户的IP地址结合，可以被用于识别用户身份。此外，DeepSeek与Volcengine（字节跳动旗下的云服务平台）存在关联，尽管目前尚不清楚数据共享的具体范围。

更令人担忧的是，DeepSeek iOS应用在传输设备信息时未使用任何加密措施。这意味着数据可以被任何接触应用流量网络的人拦截、阅读甚至修改。报告观察到，DeepSeek禁用了iOS平台级别的保护机制——应用程序传输安全性（ATS），这使得敏感数据可以通过未加密的渠道发送。

虽然该应用选择性地加密了来自DeepSeek服务器的部分响应，但使用的却是已弃用的3DES加密算法，且加密密钥被硬编码在应用中，容易被提取。此外，研究人员还发现了一个与DeepSeek相关的公共数据库，其中暴露了大量聊天历史记录和敏感信息，这可能导致完整的数据库控制和潜在的特权升级。

针对DeepSeek的安全问题，美国国会、意大利、台湾等地已采取行动禁止使用该应用。美国国会办公室警告不要使用该应用，意大利和台湾已采取禁止措施，五角大楼和NASA也已禁止访问DeepSeek。