就在被稱作“中國版OpenAI”的DeepSeek橫空出世�,并引發(fā)全球廣泛關(guān)注之際��,DeepSeek近來遭遇了一場極為嚴重的數(shù)據(jù)泄露事件����。
DeepSeek遭受數(shù)據(jù)泄露 AI時代數(shù)據(jù)安全呼喚“新底座”
來源Wiz
2025年1月30日��,美國紐約的網(wǎng)絡(luò)安全公司W(wǎng)iz曝光了DeepSeek的數(shù)據(jù)泄露問題��。Wiz在評估DeepSeek的外部安全態(tài)勢時�����,發(fā)現(xiàn)了一個可公開訪問的ClickHouse數(shù)據(jù)庫��,且未經(jīng)身份驗證。其中包含超過100萬行的日志流,以及大量聊天記錄、后端數(shù)據(jù)和敏感信息���,如API密鑰等,并允許完全控制數(shù)據(jù)庫操作�����。
這一事件不僅讓DeepSeek的用戶面臨個人信息泄露風(fēng)險����,也給數(shù)據(jù)安全行業(yè)帶來巨大警示:
對個人而言,用戶的隱私被侵犯�����,可能會收到各種騷擾信息��、遭遇詐騙�,甚至個人財務(wù)安全也會受到威脅����,例如用戶的API秘鑰因泄露而被濫用,導(dǎo)致用戶承受高額的API調(diào)用費用。
對企業(yè)而言����,企業(yè)的聲譽受損�,客戶信任度下降���,可能導(dǎo)致業(yè)務(wù)流失��,股價下跌����。此外����,還可能面臨監(jiān)管機構(gòu)的巨額罰款和法律訴訟,給企業(yè)帶來沉重的經(jīng)濟負擔(dān)���。
對社會而言,數(shù)據(jù)泄露事件導(dǎo)致信息安全的信任度降低����,人們在網(wǎng)絡(luò)活動中更加謹慎�����,甚至對一些正常的數(shù)據(jù)收集、使用行為產(chǎn)生抵觸�,阻礙大數(shù)據(jù)��、人工智能等依賴數(shù)據(jù)的技術(shù)和產(chǎn)業(yè)的健康發(fā)展,也給網(wǎng)絡(luò)安全防護帶來更大壓力��,增加社會在信息安全保障方面的成本投入���。
從數(shù)據(jù)安全角度來看�,本次DeepSeek的ClickHouse數(shù)據(jù)庫數(shù)據(jù)泄露事件主要存在以下數(shù)據(jù)安全問題:
1、安全管理缺失�,在訪問控制策略制定與執(zhí)行上存在漏洞�����;
2、 安全意識不足���,缺乏系統(tǒng)的數(shù)據(jù)安全培訓(xùn)���,導(dǎo)致員工無法敏銳察覺潛在安全威脅�����,也不了解數(shù)據(jù)安全保護的重要操作規(guī)范��;
3、 安全審計與監(jiān)控機制不完善��,內(nèi)部缺乏對數(shù)據(jù)庫脆弱性與操作行為的實時監(jiān)控����,未能及時發(fā)現(xiàn)并預(yù)警非法訪問行為。
隨著DeepSeek將AI應(yīng)用的技術(shù)門檻與經(jīng)濟成本的降低,各行業(yè)、企業(yè)結(jié)合自身需求與特征的AI智能應(yīng)用如雨后春筍般發(fā)布�����,AI智能應(yīng)用場景日益廣泛���。安全是發(fā)展的基礎(chǔ)���,數(shù)據(jù)作為AI智能應(yīng)用的基石���,在通過AI智能應(yīng)用對數(shù)據(jù)進行深度利用的同時���,需確保數(shù)據(jù)的可用性���、完整性��、保密性,建立起AI智能應(yīng)用的數(shù)據(jù)安全底座,保障AI智能應(yīng)用的高水平發(fā)展。
AI應(yīng)用場景數(shù)據(jù)安全風(fēng)險分析 識別潛在風(fēng)險
在AI應(yīng)用場景下��,昂楷科技將其劃分為用戶訪問層�,大模型應(yīng)用層,私有知識庫和外部數(shù)據(jù)、能力模塊����,具體分析各模塊及模塊間潛在威脅����。
大模型應(yīng)用層API、客戶端接口的潛在風(fēng)險:身份盜用、API濫用�����、攻擊����、API響應(yīng)泄露、使用Al應(yīng)用導(dǎo)致的信息泄露等�����。
大模型應(yīng)用層部署各類應(yīng)用時的潛在風(fēng)險:應(yīng)用體運行數(shù)據(jù)泄露����,應(yīng)用體開發(fā)、測試��、運維時數(shù)據(jù)訪問權(quán)限管控與防泄露等��。
大模型應(yīng)用層調(diào)用外部大模型API接口時的潛在風(fēng)險:個人隱私��、商業(yè)秘密泄露等。
私有知識庫中的潛在風(fēng)險:敏感數(shù)據(jù)和流動態(tài)勢不清,內(nèi)部人員非法訪問或泄露數(shù)據(jù)�����,攻擊者通過應(yīng)用層竊取�、篡改或刪除數(shù)據(jù)�,未經(jīng)授權(quán)訪問等。
AI應(yīng)用場景數(shù)據(jù)安全建設(shè)思路 基于標(biāo)準(zhǔn) 高于標(biāo)準(zhǔn)
我國當(dāng)前在數(shù)據(jù)安全領(lǐng)域的法律�、法規(guī)����、制度�����、規(guī)范日益健全���,AI應(yīng)用場景下的數(shù)據(jù)安全治理建設(shè)應(yīng)以“基于保準(zhǔn)�����、高于標(biāo)準(zhǔn)”的思維進行頂層設(shè)計,圍繞AI應(yīng)用場景下所面臨的一系列數(shù)據(jù)安全挑戰(zhàn),昂楷科技憑借專注數(shù)據(jù)安全治理領(lǐng)域15年的技術(shù)積淀和5000+客戶實踐�����,建構(gòu)出了全方位的數(shù)據(jù)安全體系框架����,助您輕松應(yīng)對AI應(yīng)用場景下的數(shù)據(jù)安全治理挑戰(zhàn)。
昂楷科技AI應(yīng)用場景數(shù)據(jù)安全體系框架�,嚴格遵循國家法律����、法規(guī)�、規(guī)章制度及標(biāo)準(zhǔn)體系要求,圍繞安全組織���、安全管理規(guī)章制度���、安全技術(shù)保障����、人員能力、安全運營�、安全監(jiān)管等方面�����,覆蓋AI應(yīng)用場景下知識庫、應(yīng)用體運行����、內(nèi)容及接口等安全領(lǐng)域��,全方位保障 AI 應(yīng)用場景下的數(shù)據(jù)安全���。
AI應(yīng)用場景數(shù)據(jù)安全技術(shù)體系建設(shè) 打造全流程數(shù)據(jù)安全閉環(huán)
昂楷科技AI應(yīng)用場景數(shù)據(jù)安全技術(shù)體系建設(shè)�����,聚焦數(shù)據(jù)庫接口與API接口的安全,主要從數(shù)據(jù)識別�����、數(shù)據(jù)庫狀態(tài)及漏洞監(jiān)控��、接口行為監(jiān)測��、數(shù)據(jù)庫行為管控、API接口數(shù)據(jù)流轉(zhuǎn)管控等多個維度進行�,搭配數(shù)據(jù)安全態(tài)勢感知平臺的應(yīng)用�����,完美實現(xiàn)對整體數(shù)據(jù)安全風(fēng)險的實時預(yù)警��、風(fēng)險處置�、深度分析��,以及整體數(shù)據(jù)安全運營支撐��,全面提升數(shù)據(jù)安全防護、監(jiān)測����、預(yù)警�����、處置全流程閉環(huán)管理水平。
數(shù)據(jù)分類分級:參照GB/T 43697-2024數(shù)據(jù)安全技術(shù)-分類分級規(guī)則���、行業(yè)法規(guī)、標(biāo)準(zhǔn)����,對AI應(yīng)用中私有知識庫���、AI應(yīng)用體數(shù)據(jù)庫中的數(shù)據(jù)進行全面梳理���、分類分級���,同時建立運營機制����,以保證持續(xù)對數(shù)據(jù)“可視”�,支撐數(shù)據(jù)安全策略配置��。
數(shù)據(jù)庫運行狀態(tài)�����、漏洞監(jiān)控:對私有知識庫的存儲系統(tǒng)、AI應(yīng)用體運行支撐的后臺數(shù)據(jù)庫系統(tǒng),進行安全漏洞態(tài)勢和運行指標(biāo)態(tài)勢綜合展示����,提供運維人員對數(shù)據(jù)庫系統(tǒng)脆弱性和運行狀態(tài)的統(tǒng)一監(jiān)控�����,及時發(fā)現(xiàn)潛在的運行風(fēng)險及安全漏洞。系統(tǒng)內(nèi)置的對比、走勢分析報告,可為安全運維人員提供脆弱性修復(fù)情況核查和擴容規(guī)劃提供數(shù)據(jù)支撐。
接口行為監(jiān)測:對數(shù)據(jù)庫接口及API接口進行全面檢測����,結(jié)合數(shù)據(jù)安全級別定義��,利用數(shù)據(jù)安全管理平臺進行綜合關(guān)聯(lián)分析,以識別AI應(yīng)用場景中數(shù)據(jù)庫系統(tǒng)接口及對外服務(wù)API接口的安全風(fēng)險���,如陌生人訪問�����,大數(shù)據(jù)量獲取等,全面提升態(tài)勢感知、風(fēng)險研判能力��。
數(shù)據(jù)庫行為管控:構(gòu)建數(shù)據(jù)庫系統(tǒng)前端最后一道防線����,防止因安全邊界失效導(dǎo)致私有知識庫、AI應(yīng)用體后臺數(shù)據(jù)面臨安全風(fēng)險和隱患;依照“職責(zé)權(quán)限化�、權(quán)限最小化”原則����,對各類數(shù)據(jù)庫行為權(quán)限進行管控�����,對數(shù)據(jù)庫的攻擊、后臺越權(quán)高危行為進行實時攔截和阻斷。
API接口數(shù)據(jù)流轉(zhuǎn)管控:對AI應(yīng)用對外提供服務(wù)及調(diào)用外部API時的流入流出數(shù)據(jù)進行實時過濾����、脫敏�����、阻斷,防止重要數(shù)據(jù)�、敏感數(shù)據(jù)違規(guī)流動���;同時可依據(jù)策略對流出數(shù)據(jù)動態(tài)嵌入水印����,提升數(shù)據(jù)溯源能力�����,當(dāng)發(fā)生數(shù)據(jù)泄露事件時�����,可快速定位到泄露源頭,降低事件影響����。
數(shù)據(jù)安全態(tài)勢感知:采集各安全模塊的數(shù)據(jù)安全事件日志�,對安全威脅事件進行標(biāo)準(zhǔn)化�、去重���、合并和關(guān)聯(lián)分析�����,洞察整體數(shù)據(jù)安全態(tài)勢��,實現(xiàn)數(shù)據(jù)安全風(fēng)險防御主動化,打破數(shù)據(jù)安全能力組件的孤島效應(yīng)����,實現(xiàn)數(shù)據(jù)安全一體化管控����。
數(shù)據(jù)安全助力千行百業(yè) “數(shù)智蝶變”
AI 應(yīng)用場景正以前所未有的創(chuàng)新活力蓬勃發(fā)展�,不斷拓展的新領(lǐng)域、新方式和新需求�。作為AI數(shù)字浪潮的親歷者�����,昂楷科技現(xiàn)已扎根中國20+城市,累計服務(wù)5000+客戶����,多次獲得包括Gartner���、IDC等全球頂級第三方市場研究機構(gòu)高度認可��,我們將繼續(xù)緊跟AI��、大模型、數(shù)據(jù)庫等新技術(shù)�、新應(yīng)用�,以不斷創(chuàng)新的數(shù)據(jù)安全治理產(chǎn)品與解決方案���,助力千行百業(yè)數(shù)據(jù)安全“智慧蝶變”�。
基于當(dāng)前應(yīng)用場景的數(shù)據(jù)安全解決方案���,在應(yīng)對復(fù)雜多變的 AI應(yīng)用場景時��,可能與您實際場景存在一些差異�,如果您對數(shù)據(jù)安全有任何疑問����、見解,或是在實際工作中遇到了棘手的問題�,又或者您對我們分享的內(nèi)容有更深入了解的需求���,都歡迎您聯(lián)系我們���。
題-4.jpg)
