近90%Ollama大模型服务器裸奔、DeepSeek频繁被攻击，模型网络安全何解？丨ToB产业观察

树大招风，DeepSeek的脱颖而出为其带来了更多关注，更多资本注入的同时，也让DeepSeek遭受到了更多的攻击。不过，这并不是第一个遭受到大规模网络攻击的大模型公司，此前诸如Kimi、OpenAI这样家喻户晓的模型公司也都遭受到了不同程度的网络攻击。

大模型被攻击是普遍现象

DeepSeek遭受到严重的网络攻击并不是大模型行业的个例，回来过去几年大模型行业的发展，还有很多大模型成为了黑灰产业的攻击对象。

2023年11月，ChatGPT遭黑客组织DDoS攻击，多次发生严重的业务中断，甚至大面积瘫痪；2024年9月20日，秘塔AI搜索引擎受到Mirai变种攻击；2025年1月7日、11日、23日、24日，kimi.ai的也被DDoS攻击......

回顾此次攻击，在不到一个月的时间内，DeepSeek就接连遭遇了大规模DDoS攻击、僵尸网络、仿冒网站泛滥、数据库安全隐患等各种安全威胁，甚至一度对正常服务造成严重影响，根据公开资料显示，DeepSeek主要面临的是DDoS攻击，先后经历了轻微的HTTP代理攻击、大量HTTP代理攻击、僵尸网络攻击等行为，参与攻击的两个僵尸网络分别为HailBot和RapperBot。

在奇安信安全专家看来，种种迹象也折射出了整个AI行业当下面临着的严峻的安全挑战，“AI行业面临的网络攻击，可能将呈现出持续时间长、攻击方式不断进化、攻击烈度不断升级、影响危害持续扩大等特征。”该名专家指出。

而另一方面，虽然大模型遭到频繁的网络攻击是普遍现象，但是从多起攻击事件中，也不难总结出一些特性。

首先，无论是ChatGPT、Kimi，还是此次受攻击的DeepSeek，其都有一个共性——均为具有初创性质的科技公司打造。与之相比，诸如Bing、通义千问、文心一言等传统老牌互联网巨头打造的大模型则大多不会太受攻击的影响。

在盛邦安全安全服务产品线总经理&研发总监郝龙看来，与传统的互联网巨头相比，初创型的科技企业的安全体系建设能力，远不如已经在互联网摸爬滚打多年的巨头，且安全属于企业成本支出类，对于资金、资源有限的初创企业，更愿意将更多的资源用在模型技术的研发和迭代上，这也就造成了，虽然模型能力很强，但是防护能力不足，极容易成为攻击目标。

无独有偶，奇安信安全专家也对钛媒体APP表示，在防御机制建设层面，大模型需要通过严密的安全技术保障和运行监测，确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的。

攻击的背后，大模型的安全架构仍待完善

在与多位安全行业专家的沟通中，几乎所有专家都向钛媒体APP表达了对于当下大模型安全体系建设的担忧。

天融信安全专家告诉钛媒体APP，大模型系统在运营中面临多重安全风险，这些风险源自技术缺陷、不当使用及恶意利用。处理敏感数据时，易受攻击导致数据窃取、服务中断及用户流失。模型本身若存缺陷或后门，则成为攻击目标，如投毒攻击可操控模型输出，干扰业务。此外，大模型生成内容可能引发虚假信息、歧视、隐私泄露等问题，威胁公民安全、国家安全及伦理安全。因此，需从体系化角度，针对算法、数据、系统及信息内容制定防范措施。

从模型自身风险的角度出发，由于模型本身需要对外提供公开服务，并涉及敏感信息的开放场景，因此会引发多种安全隐患，包括：提示注入攻击、拒绝服务攻击、提示词泄露、通用越狱漏洞等，“这些攻击都会对大模型的安全性和稳定性带来重大影响。”奇安信安全专家指出。

从模型防护机制建设角度出发，大模型需要通过严密的安全技术保障和运行监测，确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的，以此次遭受大量攻击的DeepSeek为例，网宿科技安全事业部高级技术总监胡钢伟告诉钛媒体APP，此次DeepSeek遭受大规模攻击，究其原因，一方面是由于DeepSeek自身的防御机制建设不足，未能储备足够的防护资源以面对高强度的DDoS攻击行为，另一方面也和DeepSeek在开发过程中未能完善安全测试机制有关，造成了漏洞被攻击者利用。

除此之外，攻击者除了直接的攻击以外，还会利用对抗性攻击和数据投毒来破坏大模型的安全性。例如，2023年，某教育巨头AI大模型遭遇训练数据污染，出现了“毒教材”内容，最终导致该公司市值蒸发达120亿元。“在数据投毒方面，只需花费少量成本就能污染大型开源数据集，进而影响基于这些数据训练的大模型的行为。”奇安信安全专家如是说。

另一方面，在模型防御机制建设层面，与传统互联网厂商相比，初创的大模型企业在安全开发管理、数据保护体系、安全对抗能力等方面存在明显“短板”，网络安全防护技术滞后，传统防护系统难以应对复杂攻击。针对模型防御机制建设，奇安信安全专家提出了建议，在大模型安全服务方面，需要加强合规咨询服务，安全测试与评估服务，安全培训服务，应急响应服务，持续监测服务等。

在产品方面，除了传统的网络安全和数据安全解决方案之外，会出现针对大模型输入输出的内容过滤产品，模型保护安全产品，大模型伦理审核产品等。

安全“短板”决定了模型的上限

Gartner预测，到2025年，生成式AI的采用将导致企业机构所需的网络安全资源激增，使应用和数据安全支出增加15%以上。

在企业数据价值不断深挖，以及企业业务逐渐离不开网络的双重加持下，以网络安全、数据安全为代表的“虚拟”资产安全已经成为在选择使用一项数字技术过程中，必要的考虑因素。

除了模型自身的鲁棒性、可解释性、幻觉等问题会造成的安全问题以外，训练模型的系统平台也存在安全风险隐患。在系统平台部分，可能遭受非授权访问和非授权使用等一般风险，除此之外，还可能存在机器学习框架安全隐患、开发工具链安全风险、系统逻辑缺陷风险，以及插件相关安全风险等重点风险。

同时，在业务应用层面，大模型也存在相关风险，可能存在测试验证数据更新不及时的一般风险，以及以生成违法不良信息、数据泄露、用户恶意使用等为代表的重点风险。

值得一提的是，随着人工智能技术的发展，AI攻击的形式变得越来越多样化和复杂化。除了传统的网络攻击方式，攻击者还利用了AI独特的能力来增强攻击的效果，加强了攻击的隐蔽性。面对多样化的AI攻击形式，防御策略也需要相应升级，利用AI驱动的防御手段，用AI的“魔法”打败攻击者。

针对此，多名安全行业专家都建议国内高科技企业建立对抗性安全运营体系，将产品、人员、手段和流程融合成联动整体，从事件驱动、情报驱动、对抗驱动、狩猎驱动四个方面综合考量，运用先进的网络安全监测与防护技术，进行攻击面识别、网络入侵和威胁检测以及安全防护策略升级，还可通过红蓝对抗来检验自身安全防护水平，并且利用AI大模型应对新型攻击。

大模型本身也是一个应用，也需要对外提供服务，因此传统的安全防护不能少。比如使用防火墙、入侵检测、抗DDoS的硬件安全设备，或者采用云抗D、云WAF等云服务，保障大模型应用在网络、数据和应用层面的安全。

针对AI大模型特有的安全风险，如prompt注入攻击、信息内容安全风险、数据隐私泄漏以及伦理与法律风险，需要升级安全防护手段，对prompt内容进行输入过滤与验证，利用对抗训练技术抵抗prompt攻击；升级数据治理，把控数据质量，避免不良信息生成；实时监测与审查模型输出内容，及时拦截与纠正有害信息。

虽然安全措施可能增加计算成本（如密态推理的延迟），但通过技术创新（如GPU可信执行环境）可实现安全与效率的平衡，在郝龙看来，安全问题对于大模型企业而言，虽然是成本问题，但是安全也组成大模型“水桶”的关键一块木板，决定着大模型的上限在哪里。

从国内大模型行业的发展就不难看出，无论是Kimi，还是DeepSeek，绝大多数被爆出遭到大量攻击的大模型产品都是初创型公司的产品，与之相比，通义千问、文心一言等由传统互联网巨头开发的大模型产品，则相对安全系数比较高。不过，总体来看，奇安信资产测绘鹰图平台监测发现，8971个Ollama（大语言模型服务工具）大模型服务器中，有6449个活跃服务器，其中88.9%都“裸奔”在互联网上，导致任何人不需要任何认证即可随意调用、在未经授权的情况下访问这些服务，有可能导致数据泄露和服务中断，甚至可以发送指令删除所部署的DeepSeek、Qwen等大模型文件。

究其原因，传统互联网巨头在网络安全和数据安全方面，早有布局，相对安全体系建设比较完善，而初创公司出于成本的考虑，或因经验不足，导致安全体系建设相对落后，如若后续不能补足安全体系的话，即便性能再好的模型产品，也终将成为“昙花一现”。大模型的安全能力不仅关乎风险防控，更是其突破应用天花板的关键。（本文首发于钛媒体APP，作者｜张申宇，编辑丨盖虹达）