就在被稱作“中國版OpenAI”的DeepSeek橫空出世，并引發(fā)全球廣泛關(guān)注之際，DeepSeek近來遭遇了一場極為嚴(yán)重的數(shù)據(jù)泄露事件。

DeepSeek遭受數(shù)據(jù)泄露 AI時(shí)代數(shù)據(jù)安全呼喚“新底座”

來源Wiz

2025年1月30日，美國紐約的網(wǎng)絡(luò)安全公司W(wǎng)iz曝光了DeepSeek的數(shù)據(jù)泄露問題。Wiz在評估DeepSeek的外部安全態(tài)勢時(shí)，發(fā)現(xiàn)了一個(gè)可公開訪問的ClickHouse數(shù)據(jù)庫，且未經(jīng)身份驗(yàn)證。其中包含超過100萬行的日志流，以及大量聊天記錄、后端數(shù)據(jù)和敏感信息，如API密鑰等，并允許完全控制數(shù)據(jù)庫操作。

這一事件不僅讓DeepSeek的用戶面臨個(gè)人信息泄露風(fēng)險(xiǎn)，也給數(shù)據(jù)安全行業(yè)帶來巨大警示：

對個(gè)人而言，用戶的隱私被侵犯，可能會(huì)收到各種騷擾信息、遭遇詐騙，甚至個(gè)人財(cái)務(wù)安全也會(huì)受到威脅，例如用戶的API秘鑰因泄露而被濫用，導(dǎo)致用戶承受高額的API調(diào)用費(fèi)用。

對企業(yè)而言，企業(yè)的聲譽(yù)受損，客戶信任度下降，可能導(dǎo)致業(yè)務(wù)流失，股價(jià)下跌。此外，還可能面臨監(jiān)管機(jī)構(gòu)的巨額罰款和法律訴訟，給企業(yè)帶來沉重的經(jīng)濟(jì)負(fù)擔(dān)。

對社會(huì)而言，數(shù)據(jù)泄露事件導(dǎo)致信息安全的信任度降低，人們在網(wǎng)絡(luò)活動(dòng)中更加謹(jǐn)慎，甚至對一些正常的數(shù)據(jù)收集、使用行為產(chǎn)生抵觸，阻礙大數(shù)據(jù)、人工智能等依賴數(shù)據(jù)的技術(shù)和產(chǎn)業(yè)的健康發(fā)展，也給網(wǎng)絡(luò)安全防護(hù)帶來更大壓力，增加社會(huì)在信息安全保障方面的成本投入。

從數(shù)據(jù)安全角度來看，本次DeepSeek的ClickHouse數(shù)據(jù)庫數(shù)據(jù)泄露事件主要存在以下數(shù)據(jù)安全問題：

1、安全管理缺失，在訪問控制策略制定與執(zhí)行上存在漏洞；

2、 安全意識(shí)不足，缺乏系統(tǒng)的數(shù)據(jù)安全培訓(xùn)，導(dǎo)致員工無法敏銳察覺潛在安全威脅，也不了解數(shù)據(jù)安全保護(hù)的重要操作規(guī)范；

3、 安全審計(jì)與監(jiān)控機(jī)制不完善，內(nèi)部缺乏對數(shù)據(jù)庫脆弱性與操作行為的實(shí)時(shí)監(jiān)控，未能及時(shí)發(fā)現(xiàn)并預(yù)警非法訪問行為。

隨著DeepSeek將AI應(yīng)用的技術(shù)門檻與經(jīng)濟(jì)成本的降低，各行業(yè)、企業(yè)結(jié)合自身需求與特征的AI智能應(yīng)用如雨后春筍般發(fā)布，AI智能應(yīng)用場景日益廣泛。安全是發(fā)展的基礎(chǔ)，數(shù)據(jù)作為AI智能應(yīng)用的基石，在通過AI智能應(yīng)用對數(shù)據(jù)進(jìn)行深度利用的同時(shí)，需確保數(shù)據(jù)的可用性、完整性、保密性，建立起AI智能應(yīng)用的數(shù)據(jù)安全底座，保障AI智能應(yīng)用的高水平發(fā)展。

AI應(yīng)用場景數(shù)據(jù)安全風(fēng)險(xiǎn)分析 識(shí)別潛在風(fēng)險(xiǎn)

在AI應(yīng)用場景下，昂楷科技將其劃分為用戶訪問層，大模型應(yīng)用層，私有知識(shí)庫和外部數(shù)據(jù)、能力模塊，具體分析各模塊及模塊間潛在威脅。

大模型應(yīng)用層API、客戶端接口的潛在風(fēng)險(xiǎn)：身份盜用、API濫用、攻擊、API響應(yīng)泄露、使用Al應(yīng)用導(dǎo)致的信息泄露等。

大模型應(yīng)用層部署各類應(yīng)用時(shí)的潛在風(fēng)險(xiǎn)：應(yīng)用體運(yùn)行數(shù)據(jù)泄露，應(yīng)用體開發(fā)、測試、運(yùn)維時(shí)數(shù)據(jù)訪問權(quán)限管控與防泄露等。

大模型應(yīng)用層調(diào)用外部大模型API接口時(shí)的潛在風(fēng)險(xiǎn)：個(gè)人隱私、商業(yè)秘密泄露等。

私有知識(shí)庫中的潛在風(fēng)險(xiǎn)：敏感數(shù)據(jù)和流動(dòng)態(tài)勢不清，內(nèi)部人員非法訪問或泄露數(shù)據(jù)，攻擊者通過應(yīng)用層竊取、篡改或刪除數(shù)據(jù)，未經(jīng)授權(quán)訪問等。

AI應(yīng)用場景數(shù)據(jù)安全建設(shè)思路 基于標(biāo)準(zhǔn) 高于標(biāo)準(zhǔn)

我國當(dāng)前在數(shù)據(jù)安全領(lǐng)域的法律、法規(guī)、制度、規(guī)范日益健全，AI應(yīng)用場景下的數(shù)據(jù)安全治理建設(shè)應(yīng)以“基于保準(zhǔn)、高于標(biāo)準(zhǔn)”的思維進(jìn)行頂層設(shè)計(jì)，圍繞AI應(yīng)用場景下所面臨的一系列數(shù)據(jù)安全挑戰(zhàn)，昂楷科技憑借專注數(shù)據(jù)安全治理領(lǐng)域15年的技術(shù)積淀和5000+客戶實(shí)踐，建構(gòu)出了全方位的數(shù)據(jù)安全體系框架，助您輕松應(yīng)對AI應(yīng)用場景下的數(shù)據(jù)安全治理挑戰(zhàn)。

昂楷科技AI應(yīng)用場景數(shù)據(jù)安全體系框架，嚴(yán)格遵循國家法律、法規(guī)、規(guī)章制度及標(biāo)準(zhǔn)體系要求，圍繞安全組織、安全管理規(guī)章制度、安全技術(shù)保障、人員能力、安全運(yùn)營、安全監(jiān)管等方面，覆蓋AI應(yīng)用場景下知識(shí)庫、應(yīng)用體運(yùn)行、內(nèi)容及接口等安全領(lǐng)域，全方位保障 AI 應(yīng)用場景下的數(shù)據(jù)安全。

AI應(yīng)用場景數(shù)據(jù)安全技術(shù)體系建設(shè)  打造全流程數(shù)據(jù)安全閉環(huán)

昂楷科技AI應(yīng)用場景數(shù)據(jù)安全技術(shù)體系建設(shè)，聚焦數(shù)據(jù)庫接口與API接口的安全，主要從數(shù)據(jù)識(shí)別、數(shù)據(jù)庫狀態(tài)及漏洞監(jiān)控、接口行為監(jiān)測、數(shù)據(jù)庫行為管控、API接口數(shù)據(jù)流轉(zhuǎn)管控等多個(gè)維度進(jìn)行，搭配數(shù)據(jù)安全態(tài)勢感知平臺(tái)的應(yīng)用，完美實(shí)現(xiàn)對整體數(shù)據(jù)安全風(fēng)險(xiǎn)的實(shí)時(shí)預(yù)警、風(fēng)險(xiǎn)處置、深度分析，以及整體數(shù)據(jù)安全運(yùn)營支撐，全面提升數(shù)據(jù)安全防護(hù)、監(jiān)測、預(yù)警、處置全流程閉環(huán)管理水平。

數(shù)據(jù)分類分級：參照GB/T 43697-2024數(shù)據(jù)安全技術(shù)-分類分級規(guī)則、行業(yè)法規(guī)、標(biāo)準(zhǔn)，對AI應(yīng)用中私有知識(shí)庫、AI應(yīng)用體數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行全面梳理、分類分級，同時(shí)建立運(yùn)營機(jī)制，以保證持續(xù)對數(shù)據(jù)“可視”，支撐數(shù)據(jù)安全策略配置。

數(shù)據(jù)庫運(yùn)行狀態(tài)、漏洞監(jiān)控：對私有知識(shí)庫的存儲(chǔ)系統(tǒng)、AI應(yīng)用體運(yùn)行支撐的后臺(tái)數(shù)據(jù)庫系統(tǒng)，進(jìn)行安全漏洞態(tài)勢和運(yùn)行指標(biāo)態(tài)勢綜合展示，提供運(yùn)維人員對數(shù)據(jù)庫系統(tǒng)脆弱性和運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控，及時(shí)發(fā)現(xiàn)潛在的運(yùn)行風(fēng)險(xiǎn)及安全漏洞。系統(tǒng)內(nèi)置的對比、走勢分析報(bào)告，可為安全運(yùn)維人員提供脆弱性修復(fù)情況核查和擴(kuò)容規(guī)劃提供數(shù)據(jù)支撐。

接口行為監(jiān)測：對數(shù)據(jù)庫接口及API接口進(jìn)行全面檢測，結(jié)合數(shù)據(jù)安全級別定義，利用數(shù)據(jù)安全管理平臺(tái)進(jìn)行綜合關(guān)聯(lián)分析，以識(shí)別AI應(yīng)用場景中數(shù)據(jù)庫系統(tǒng)接口及對外服務(wù)API接口的安全風(fēng)險(xiǎn)，如陌生人訪問，大數(shù)據(jù)量獲取等，全面提升態(tài)勢感知、風(fēng)險(xiǎn)研判能力。

數(shù)據(jù)庫行為管控：構(gòu)建數(shù)據(jù)庫系統(tǒng)前端最后一道防線，防止因安全邊界失效導(dǎo)致私有知識(shí)庫、AI應(yīng)用體后臺(tái)數(shù)據(jù)面臨安全風(fēng)險(xiǎn)和隱患；依照“職責(zé)權(quán)限化、權(quán)限最小化”原則，對各類數(shù)據(jù)庫行為權(quán)限進(jìn)行管控，對數(shù)據(jù)庫的攻擊、后臺(tái)越權(quán)高危行為進(jìn)行實(shí)時(shí)攔截和阻斷。

API接口數(shù)據(jù)流轉(zhuǎn)管控：對AI應(yīng)用對外提供服務(wù)及調(diào)用外部API時(shí)的流入流出數(shù)據(jù)進(jìn)行實(shí)時(shí)過濾、脫敏、阻斷，防止重要數(shù)據(jù)、敏感數(shù)據(jù)違規(guī)流動(dòng)；同時(shí)可依據(jù)策略對流出數(shù)據(jù)動(dòng)態(tài)嵌入水印，提升數(shù)據(jù)溯源能力，當(dāng)發(fā)生數(shù)據(jù)泄露事件時(shí)，可快速定位到泄露源頭，降低事件影響。

數(shù)據(jù)安全態(tài)勢感知：采集各安全模塊的數(shù)據(jù)安全事件日志，對安全威脅事件進(jìn)行標(biāo)準(zhǔn)化、去重、合并和關(guān)聯(lián)分析，洞察整體數(shù)據(jù)安全態(tài)勢，實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)防御主動(dòng)化，打破數(shù)據(jù)安全能力組件的孤島效應(yīng)，實(shí)現(xiàn)數(shù)據(jù)安全一體化管控。

數(shù)據(jù)安全助力千行百業(yè) “數(shù)智蝶變”

AI 應(yīng)用場景正以前所未有的創(chuàng)新活力蓬勃發(fā)展，不斷拓展的新領(lǐng)域、新方式和新需求。作為AI數(shù)字浪潮的親歷者，昂楷科技現(xiàn)已扎根中國20+城市，累計(jì)服務(wù)5000+客戶，多次獲得包括Gartner、IDC等全球頂級第三方市場研究機(jī)構(gòu)高度認(rèn)可，我們將繼續(xù)緊跟AI、大模型、數(shù)據(jù)庫等新技術(shù)、新應(yīng)用，以不斷創(chuàng)新的數(shù)據(jù)安全治理產(chǎn)品與解決方案，助力千行百業(yè)數(shù)據(jù)安全“智慧蝶變”。

基于當(dāng)前應(yīng)用場景的數(shù)據(jù)安全解決方案，在應(yīng)對復(fù)雜多變的 AI應(yīng)用場景時(shí)，可能與您實(shí)際場景存在一些差異，如果您對數(shù)據(jù)安全有任何疑問、見解，或是在實(shí)際工作中遇到了棘手的問題，又或者您對我們分享的內(nèi)容有更深入了解的需求，都?xì)g迎您聯(lián)系我們。