流行的AI聊天机器人应用DeepSeek在研究人员发现多种漏洞可以暴露用户数据并构成国家安全风险之后,面临严重的安全问题。网络安全公司最近进行的一项调查显示,该应用程序将未加密的用户数据传输到由Tiktok的母公司Bondedance控制的服务器。此外,DeepSeek使用过时的加密协议,并故意禁用Apple的App Transport Security(ATS),使用户数据暴露于第三方潜在的拦截。
报告中最令人震惊的发现之一是,DeepSeek硬码不建议的3DES加密密钥,这意味着所有用户都共享相同的加密密钥。这种薄弱的安全措施使攻击者可以轻松解密和访问敏感的用户信息。更令人担忧的是,一旦数据到达bytedance的服务器,加密就会删除,从而可以进行潜在的跟踪和匿名化。鉴于中国严格的数据访问法,该法律迫使公司应要求向政府当局提供信息,因此引起了严重的隐私问题,尤其是对于处理敏感或机密信息的用户。
网络安全专家警告说,DeepSeek的宽松安全实践使其成为黑客和监视工作的容易目标。高价值个人,例如政府官员,记者和公司高管,可能尤其容易受到间谍活动或有针对性攻击的影响。这些风险超出了个人隐私,因为受损的数据可能会用于政治,经济或战略优势。
尽管存在这些严重的安全缺陷,但DeepSeek仍在Apple的App Store上可用,从而提出了有关Apple应用程序审核过程的问题。苹果长期以来一直将其生态系统销售为安全,为开发人员实施严格的隐私标准,但DeepSeek在叙述的平台挑战中的存在。据报道,该应用程序的Android版本的安全性甚至更低,对其在Google Play上的可用性提高了担忧。
参见:DeepSeek AI被指控与禁止的中国电信共享用户数据
这种情况与围绕蒂克托克的持续审查具有相似之处,蒂克托克(Tiktok)在几个国家对数据隐私的担忧及其与野蛮人的联系而面临禁令和限制。美国立法者一再警告说与中国拥有的应用程序相关的风险,一些专家推测,DeepSeek很快可能面临类似的政府行动。如果开发人员未能解决这些安全问题,则可能会增加监管压力,这可能会导致DeepSeek从应用商店中删除或对其在敏感环境中使用的限制。
目前,建议用户在使用DeepSeek时谨慎行事,尤其是在共享个人或机密信息时。在开发人员实施更强大的加密标准并解决数据隐私问题之前,该应用程序仍然是重大的安全风险。
(通过ARS Technica)