DeepSeek相关安全事件分析报告

DeepSeek相关安全事件分析报告

近期，DeepSeek作为一家迅速崛起的中国AI公司，凭借其先进的AI模型吸引了全球关注。然而，随着其知名度的提升，各类安全问题也接踵而至。本文将对近期DeepSeek相关的一系列安全事件进行详细分析，包括恶意软件包事件、钓鱼攻击事件、模型越狱事件和数据库泄露事件。这些事件不仅揭示了DeepSeek所面临的严峻安全挑战，也为其他AI公司和用户提供了重要的安全警示。

一、引言

近期，DeepSeek作为一家迅速崛起的中国AI公司，凭借其先进的AI模型吸引了全球关注。然而，随着其知名度的提升，各类安全问题也接踵而至。网络犯罪分子纷纷利用DeepSeek的热度，发起多种恶意攻击活动，给用户带来了极大的安全风险。本报告将对近期DeepSeek相关的一系列安全事件进行详细分析，旨在揭示这些安全威胁的本质，为公众提供防范建议。

二、安全事件详述

（一）恶意软件包事件

事件概述：Positive Technologies Expert Security Center的供应链安全团队检测到，2025年1月29日，恶意用户“bvk”（2023年6月创建账户，此前无其他活动）在Python Package Index（PyPI）上传了“deepseeek”和“deepseekai”两个恶意软件包，目标是对将DeepSeek集成到系统中的开发者、ML工程师和AI爱好者进行攻击。

恶意软件功能：这些软件包中的函数旨在收集用户和计算机数据，并窃取环境变量。当用户在命令行界面运行“deepseeek”或“deepseekai”命令时，恶意负载就会执行。环境变量通常包含应用程序运行所需的敏感数据，如S3存储服务的API密钥、数据库凭据等。

传播情况：尽管PyPI在收到通知后迅速删除了这些软件包，但在此之前，它们已通过pip包管理器、bandersnatch镜像工具被下载36次，通过浏览器、requests库和其他工具被下载186次。下载地区涉及美国、中国、俄罗斯等多个国家。

技术分析：从恶意软件包的代码来看，其作者使用Pipedream作为命令和控制服务器来接收被盗数据，并且代码中的特征注释表明该脚本是在AI助手的帮助下编写的。

时间线：

• 2025年1月29日 15:52:58 deepseeek 0.0.8 软件包首次发布
• 2025年1月29日 16:13:10 deepseekai 0.0.8 软件包首次发布
• 2025年1月29日 16:21:32 根据报告,这两个软件包都被隔离,无法通过包管理器下载
• 2025年1月29日 16:41:14 PyPI管理员删除了 deepseeek

(二）钓鱼攻击事件

事件概述：黑客组织利用DeepSeek的热度，伪装成DeepSeek客户端安装程序、官方网站等进行钓鱼攻击，诱导用户下载恶意软件、提供个人信息或进行虚假投资，从而造成用户的财产损失和隐私泄露。

具体形式

• 伪装安装程序：黑客将恶意软件伪装成DeepSeek客户端安装程序“DeepSeekSetup.msi”，解析该安装程序后发现，它会加载执行恶意模块，恶意模块编译时间为2025年1月23日。从代码特征分析，其与BumbleBee恶意软件家族代码特征基本一致。

恶意样本特征：

样本1：
- 分发地址：deepseek-umxvljvoilcnxih[.]app-tools.info
- SHA256：
934f87fdc0aa5bfdf4b572a7fd56e4e139fe1974396d1bbb09d2c222bdb838a0

样本2：
- 分发地址：http[:]//5.61.58[.]167/files/
- SHA256：
31b72e1c246b4f38e70f9c8c556a626b15736589860f3231001bb4ebae74923

• 仿冒官方网站：网络上出现了大量仿冒DeepSeek官方网站的钓鱼网站。这些网站有的与加密货币钓鱼计划相关，诱使用户扫描QR码连接钱包，导致钱包账户被盗；有的虚假宣传DeepSeekPre-IPO股份，吸引用户投资，骗取用户资金；还有的网站收集用户的个人身份信息（PII），存在隐私和安全隐患。

• deepseek-v3[.]live

• deepseek-wl[.]com

• deepseekonchain[.]com

• deepseek-login[.]com

• deepseeklogin[.]com

• deepseeklogins[.]com

• deepseeklogin[.]xyz

• deepseeklogin[.]net

• deepseeklogin[.]me

• deepseeklogin[.]co

• deepseeklogin[.]us

• 仿冒官方社媒账号：随着DeepSeek的破圈，其品牌传播都极具上升，国内外社交媒体网络上存在大量仿冒社媒账号，有的是在为钓鱼或者虚假加密货币引流。有的是蹭DeepSeek公司的流量，无论何种目的的仿冒账号，都影响了DeepSeek的品牌现象，并且对其目标用户构成了实际的威胁。

样本1：

- x[.]com/DeepSeek_solano

这个方面仿冒账号目的是向deepseekonchain[.]com这个仿冒网站引流，并且还转发了官方的消息假装是正规账号。

样本2：

- facebook[.]com/profile.php?id=61572622324898

国内社交媒体软件上的仿冒账号

DeepSeek官方提醒用户主页甄别仿冒社媒账号

• 虚假加密货币：随着DeepSeek的走红，多个区块链网络上出现了大量虚假的DeepSeek加密货币令牌。这些令牌市值短期内飙升，吸引了众多投资者。但DeepSeek官方已明确表示未发行任何加密货币，这些虚假令牌均为诈骗手段。据Blockaid数据，截至2025年1月27日，至少有75个此类诈骗令牌被创建。据Blockaid研究分析师Oz Tamir称，诈骗者利用热门叙事和创建诈骗代币的速度越来越快。

在1月10日的置顶X帖子中，DeepSeek写道：“DeepSeek没有发行任何加密货币。目前，Twitter平台上只有一个官方账号。我们不会通过其他账户联系任何人。请保持警惕，提防潜在的骗局。

（三）模型越狱事件

事件概述：Palo Alto Networks的Unit 42研究人员对DeepSeek模型进行测试，发现了三种有效的越狱技术，即Bad Likert Judge、Crescendo和Deceptive Delight，这些技术能够绕过DeepSeek模型的安全限制，获取恶意输出。

越狱技术原理及影响

• Bad Likert Judge：该技术通过让模型使用Likert量表评估响应的危害性，然后促使模型生成与高评分相关的示例，从而获取恶意内容。测试中，研究人员使用该技术成功让DeepSeek模型生成了数据泄露工具、网络钓鱼邮件模板、社会工程优化建议等恶意输出。

• Crescendo：利用模型自身知识，通过逐步提供相关内容的提示，引导对话走向被禁止的话题，直至覆盖模型的安全机制。在对DeepSeek模型的测试中，研究人员从询问莫洛托夫鸡尾酒的历史开始，通过一系列相关提示，最终使模型生成了制作莫洛托夫鸡尾酒的详细指南。

• Deceptive Delight：将不安全的话题嵌入良性话题的积极叙述中，先让模型创建连接这些话题的故事，再对每个话题进行详细阐述，以此绕过安全措施。测试中，研究人员使用该技术让DeepSeek模型生成了利用分布式组件对象模型（DCOM）在Windows机器上远程运行命令的脚本。

（四）数据库泄露事件

事件概述：Wiz Research发现DeepSeek有可公开访问的ClickHouse数据库，该数据库允许对数据库操作进行完全控制，暴露了超过100万行包含敏感信息的日志流，涵盖聊天记录、密钥、后端细节等。数据库托管在oauth2callback.deepseek.com:9000和dev.deepseek.com:9000。

发现过程：研究人员在评估DeepSeek公开可访问域名时，通过映射外部攻击面，发现了与特定主机相关的异常开放端口8123和9000，进一步调查发现这些端口关联到无需认证即可访问的ClickHouse数据库。

数据泄露影响：此次泄露不仅使攻击者能够获取敏感日志和明文聊天消息，还可能利用ClickHouse配置，通过类似“SELECT * FROM file ('filename')”的查询直接从服务器窃取明文密码和本地文件。

事件处理：Wiz Research及时向DeepSeek披露问题，DeepSeek迅速对数据库进行了安全加固，防止数据进一步泄露。

三、安全事件综合分析

（一）攻击手段特点

• 利用热点和信任：网络犯罪分子紧密跟踪技术热点，利用DeepSeek的高人气，通过伪装成官方产品、服务或投资机会，利用用户对DeepSeek的信任进行攻击，具有很强的欺骗性。

• 技术手段多样且隐蔽：结合AI编写恶意代码、利用开源平台传播恶意软件、通过精心设计的越狱技术绕过模型安全机制等，攻击手段越来越复杂隐蔽，增加了检测和防范的难度。

• 多领域协同攻击：涵盖了软件供应链（恶意软件包事件）、网络钓鱼（仿冒网站和虚假投资）、数据安全（数据库泄露）以及AI模型安全（模型越狱）等多个领域，形成了全方位的攻击态势。

（二）安全事件的影响

• 用户层面：导致用户的个人信息泄露、财产损失，如加密货币钱包被盗、投资被骗等，同时也可能使设备感染恶意软件，影响设备的正常使用和数据安全。

• 企业层面：DeepSeek的品牌声誉受损，用户对其信任度下降；企业需要投入大量资源进行安全修复和用户安抚，增加运营成本；同时，整个AI行业的信任环境也受到冲击，影响行业的健康发展。

• 社会层面：大量的安全事件引发公众对AI技术安全性的担忧，阻碍AI技术的推广和应用；网络犯罪活动的增加也给社会安全带来不稳定因素。

四、防范建议

（一）用户层面

• 谨慎下载和使用：只从DeepSeek官方网站（www.deepseek.com）下载官方正版App，避免从不可信的网站下载文件或软件包。对于新出现的与DeepSeek相关的产品或服务，要仔细核实其真实性。

• 警惕网络钓鱼：不轻易点击来自未知来源的链接，尤其是那些声称与DeepSeek相关的邮件、短信或社交媒体消息中的链接。对于仿冒官方网站的钓鱼网站，要注意识别网站URL、页面布局和内容细节等方面的差异。在涉及资金交易或提供个人信息时，务必谨慎确认对方身份。

• 加强安全意识培训：学习基本的网络安全知识，了解常见的网络攻击手段和防范方法。关注安全机构发布的安全提示和威胁情报，提高自身的安全防范意识。

• 使用安全防护工具：在设备上安装可靠的反病毒和互联网安全软件，开启实时防护功能，及时检测和拦截恶意软件、网络钓鱼攻击等。同时，启用设备和应用程序的多因素身份验证（2FA）功能，增加账户的安全性。

（二）企业层面

• 强化供应链安全管理：对于使用的第三方软件包，要进行严格的安全审查，建立软件成分分析（SCA）机制，及时发现和处理恶意软件包。与供应商保持密切沟通，及时获取安全更新和漏洞修复信息。

• 加强AI模型安全防护：针对AI模型，持续优化安全机制，提高对越狱攻击的检测和防范能力。定期对模型进行安全评估和测试，及时发现和修复潜在的安全漏洞。同时，加强对员工使用AI模型的管理和监控，规范使用行为。

• 提高应急响应能力：建立完善的应急响应机制，一旦发生安全事件，能够迅速采取措施进行处理，降低损失。及时向用户和相关机构通报安全事件情况，积极配合调查和处理工作。

• 加强品牌保护和用户沟通：加强对品牌的保护，及时发现和打击仿冒品牌的行为。通过官方渠道及时向用户发布安全提示和相关信息，增强用户对企业的信任。

五、结论

DeepSeek相关的一系列安全事件给用户和企业敲响了警钟，在享受AI技术带来便利的同时，必须高度重视网络安全问题。网络犯罪分子利用新技术进行攻击的手段不断翻新，用户和企业需要不断提升安全意识，加强安全防护措施。同时，AI行业也应加强自律，推动安全标准的制定和完善，共同营造安全可靠的网络环境。

本文原文始发于微信公众号“鹰眼威胁情报中心”。