就在被稱作“中國版OpenAI”的DeepSeek橫空出世�����,并引發(fā)全球廣泛關注之際���,DeepSeek近來遭遇了一場極為嚴重的數(shù)據(jù)泄露事件�。
DeepSeek遭受數(shù)據(jù)泄露 AI時代數(shù)據(jù)安全呼喚“新底座”
來源Wiz
2025年1月30日�����,美國紐約的網(wǎng)絡安全公司W(wǎng)iz曝光了DeepSeek的數(shù)據(jù)泄露問題�����。Wiz在評估DeepSeek的外部安全態(tài)勢時��,發(fā)現(xiàn)了一個可公開訪問的ClickHouse數(shù)據(jù)庫�,且未經(jīng)身份驗證�。其中包含超過100萬行的日志流,以及大量聊天記錄、后端數(shù)據(jù)和敏感信息�����,如API密鑰等��,并允許完全控制數(shù)據(jù)庫操作�。
這一事件不僅讓DeepSeek的用戶面臨個人信息泄露風險�����,也給數(shù)據(jù)安全行業(yè)帶來巨大警示:
對個人而言��,用戶的隱私被侵犯,可能會收到各種騷擾信息���、遭遇詐騙���,甚至個人財務安全也會受到威脅�����,例如用戶的API秘鑰因泄露而被濫用���,導致用戶承受高額的API調用費用�����。
對企業(yè)而言,企業(yè)的聲譽受損���,客戶信任度下降���,可能導致業(yè)務流失�,股價下跌。此外�����,還可能面臨監(jiān)管機構的巨額罰款和法律訴訟����,給企業(yè)帶來沉重的經(jīng)濟負擔。
對社會而言,數(shù)據(jù)泄露事件導致信息安全的信任度降低��,人們在網(wǎng)絡活動中更加謹慎,甚至對一些正常的數(shù)據(jù)收集��、使用行為產(chǎn)生抵觸���,阻礙大數(shù)據(jù)���、人工智能等依賴數(shù)據(jù)的技術和產(chǎn)業(yè)的健康發(fā)展����,也給網(wǎng)絡安全防護帶來更大壓力,增加社會在信息安全保障方面的成本投入�����。
從數(shù)據(jù)安全角度來看�,本次DeepSeek的ClickHouse數(shù)據(jù)庫數(shù)據(jù)泄露事件主要存在以下數(shù)據(jù)安全問題:
1、安全管理缺失�����,在訪問控制策略制定與執(zhí)行上存在漏洞���;
2�、 安全意識不足�����,缺乏系統(tǒng)的數(shù)據(jù)安全培訓�,導致員工無法敏銳察覺潛在安全威脅���,也不了解數(shù)據(jù)安全保護的重要操作規(guī)范���;
3、 安全審計與監(jiān)控機制不完善,內(nèi)部缺乏對數(shù)據(jù)庫脆弱性與操作行為的實時監(jiān)控�,未能及時發(fā)現(xiàn)并預警非法訪問行為����。
隨著DeepSeek將AI應用的技術門檻與經(jīng)濟成本的降低�,各行業(yè)、企業(yè)結合自身需求與特征的AI智能應用如雨后春筍般發(fā)布,AI智能應用場景日益廣泛�����。安全是發(fā)展的基礎����,數(shù)據(jù)作為AI智能應用的基石,在通過AI智能應用對數(shù)據(jù)進行深度利用的同時,需確保數(shù)據(jù)的可用性����、完整性�����、保密性,建立起AI智能應用的數(shù)據(jù)安全底座����,保障AI智能應用的高水平發(fā)展����。
AI應用場景數(shù)據(jù)安全風險分析 識別潛在風險
在AI應用場景下�,昂楷科技將其劃分為用戶訪問層,大模型應用層,私有知識庫和外部數(shù)據(jù)����、能力模塊,具體分析各模塊及模塊間潛在威脅�����。
大模型應用層API���、客戶端接口的潛在風險:身份盜用�����、API濫用����、攻擊���、API響應泄露�、使用Al應用導致的信息泄露等。
大模型應用層部署各類應用時的潛在風險:應用體運行數(shù)據(jù)泄露����,應用體開發(fā)�����、測試、運維時數(shù)據(jù)訪問權限管控與防泄露等�。
大模型應用層調用外部大模型API接口時的潛在風險:個人隱私����、商業(yè)秘密泄露等����。
私有知識庫中的潛在風險:敏感數(shù)據(jù)和流動態(tài)勢不清����,內(nèi)部人員非法訪問或泄露數(shù)據(jù),攻擊者通過應用層竊取��、篡改或刪除數(shù)據(jù)����,未經(jīng)授權訪問等�。
AI應用場景數(shù)據(jù)安全建設思路 基于標準 高于標準
我國當前在數(shù)據(jù)安全領域的法律�、法規(guī)、制度�����、規(guī)范日益健全�,AI應用場景下的數(shù)據(jù)安全治理建設應以“基于保準、高于標準”的思維進行頂層設計����,圍繞AI應用場景下所面臨的一系列數(shù)據(jù)安全挑戰(zhàn)�����,昂楷科技憑借專注數(shù)據(jù)安全治理領域15年的技術積淀和5000+客戶實踐,建構出了全方位的數(shù)據(jù)安全體系框架��,助您輕松應對AI應用場景下的數(shù)據(jù)安全治理挑戰(zhàn)�。
昂楷科技AI應用場景數(shù)據(jù)安全體系框架,嚴格遵循國家法律�����、法規(guī)�、規(guī)章制度及標準體系要求,圍繞安全組織����、安全管理規(guī)章制度、安全技術保障、人員能力����、安全運營���、安全監(jiān)管等方面��,覆蓋AI應用場景下知識庫、應用體運行、內(nèi)容及接口等安全領域,全方位保障 AI 應用場景下的數(shù)據(jù)安全�。
AI應用場景數(shù)據(jù)安全技術體系建設 打造全流程數(shù)據(jù)安全閉環(huán)
昂楷科技AI應用場景數(shù)據(jù)安全技術體系建設�,聚焦數(shù)據(jù)庫接口與API接口的安全�,主要從數(shù)據(jù)識別、數(shù)據(jù)庫狀態(tài)及漏洞監(jiān)控���、接口行為監(jiān)測、數(shù)據(jù)庫行為管控���、API接口數(shù)據(jù)流轉管控等多個維度進行,搭配數(shù)據(jù)安全態(tài)勢感知平臺的應用��,完美實現(xiàn)對整體數(shù)據(jù)安全風險的實時預警��、風險處置���、深度分析��,以及整體數(shù)據(jù)安全運營支撐,全面提升數(shù)據(jù)安全防護、監(jiān)測�����、預警����、處置全流程閉環(huán)管理水平��。
數(shù)據(jù)分類分級:參照GB/T 43697-2024數(shù)據(jù)安全技術-分類分級規(guī)則�����、行業(yè)法規(guī)、標準���,對AI應用中私有知識庫、AI應用體數(shù)據(jù)庫中的數(shù)據(jù)進行全面梳理、分類分級���,同時建立運營機制,以保證持續(xù)對數(shù)據(jù)“可視”,支撐數(shù)據(jù)安全策略配置�����。
數(shù)據(jù)庫運行狀態(tài)、漏洞監(jiān)控:對私有知識庫的存儲系統(tǒng)、AI應用體運行支撐的后臺數(shù)據(jù)庫系統(tǒng)���,進行安全漏洞態(tài)勢和運行指標態(tài)勢綜合展示,提供運維人員對數(shù)據(jù)庫系統(tǒng)脆弱性和運行狀態(tài)的統(tǒng)一監(jiān)控,及時發(fā)現(xiàn)潛在的運行風險及安全漏洞��。系統(tǒng)內(nèi)置的對比�、走勢分析報告,可為安全運維人員提供脆弱性修復情況核查和擴容規(guī)劃提供數(shù)據(jù)支撐。
接口行為監(jiān)測:對數(shù)據(jù)庫接口及API接口進行全面檢測��,結合數(shù)據(jù)安全級別定義�����,利用數(shù)據(jù)安全管理平臺進行綜合關聯(lián)分析���,以識別AI應用場景中數(shù)據(jù)庫系統(tǒng)接口及對外服務API接口的安全風險�,如陌生人訪問�,大數(shù)據(jù)量獲取等,全面提升態(tài)勢感知、風險研判能力�。
數(shù)據(jù)庫行為管控:構建數(shù)據(jù)庫系統(tǒng)前端最后一道防線�����,防止因安全邊界失效導致私有知識庫�、AI應用體后臺數(shù)據(jù)面臨安全風險和隱患;依照“職責權限化�����、權限最小化”原則���,對各類數(shù)據(jù)庫行為權限進行管控�,對數(shù)據(jù)庫的攻擊、后臺越權高危行為進行實時攔截和阻斷�����。
API接口數(shù)據(jù)流轉管控:對AI應用對外提供服務及調用外部API時的流入流出數(shù)據(jù)進行實時過濾�����、脫敏��、阻斷,防止重要數(shù)據(jù)���、敏感數(shù)據(jù)違規(guī)流動;同時可依據(jù)策略對流出數(shù)據(jù)動態(tài)嵌入水印�,提升數(shù)據(jù)溯源能力���,當發(fā)生數(shù)據(jù)泄露事件時��,可快速定位到泄露源頭,降低事件影響���。
數(shù)據(jù)安全態(tài)勢感知:采集各安全模塊的數(shù)據(jù)安全事件日志,對安全威脅事件進行標準化��、去重�����、合并和關聯(lián)分析,洞察整體數(shù)據(jù)安全態(tài)勢�,實現(xiàn)數(shù)據(jù)安全風險防御主動化���,打破數(shù)據(jù)安全能力組件的孤島效應���,實現(xiàn)數(shù)據(jù)安全一體化管控�����。
數(shù)據(jù)安全助力千行百業(yè) “數(shù)智蝶變”
AI 應用場景正以前所未有的創(chuàng)新活力蓬勃發(fā)展,不斷拓展的新領域��、新方式和新需求�。作為AI數(shù)字浪潮的親歷者,昂楷科技現(xiàn)已扎根中國20+城市�����,累計服務5000+客戶,多次獲得包括Gartner���、IDC等全球頂級第三方市場研究機構高度認可,我們將繼續(xù)緊跟AI�����、大模型��、數(shù)據(jù)庫等新技術�、新應用�,以不斷創(chuàng)新的數(shù)據(jù)安全治理產(chǎn)品與解決方案,助力千行百業(yè)數(shù)據(jù)安全“智慧蝶變”�。
基于當前應用場景的數(shù)據(jù)安全解決方案����,在應對復雜多變的 AI應用場景時��,可能與您實際場景存在一些差異,如果您對數(shù)據(jù)安全有任何疑問�、見解����,或是在實際工作中遇到了棘手的問題�,又或者您對我們分享的內(nèi)容有更深入了解的需求,都歡迎您聯(lián)系我們�����。
