随着大模型的迅速流行,越来越多的公司和个人选择将该开源大模型私有化部署,让相关模型运行在自己公司或家庭的服务器上,而若一不留神,则可能面临极大的安全风险。2月14日,奇安信资产测绘鹰图平台监测发现,在8971个Ollama(一款开源大语言模型服务工具)大模型服务器中,有6449个活跃服务器,其中88.9%都“裸奔”在互联网上。
公开信息显示,运行DeepSeek R1大模型的服务器正在快速上升,上述8971个服务器中有5669个在中国。
据悉,Ollama是一款可以方便获取并运行大模型的工具,支持Qwen、Llama、DeepSeek-R1等多种先进的语言模型,可以让用户在服务器中运行使用这些模型。安全专家分析,Ollama在默认情况下并未提供安全认证功能,这导致许多部署DeepSeek的用户忽略了必要的安全限制,未对服务设置访问控制。其带来的后果是,任何人都可以在未经授权的情况下访问这些服务,不仅增加了服务被滥用的风险,还可能导致数据泄露和服务中断。更为严重的是,攻击者甚至能够发送指令删除所部署的DeepSeek、Qwen等大模型文件,进一步威胁系统的安全性。
此外,Ollama本身的安全漏洞也会在不设防的情况下被恶意利用。2024年11月,有网络安全研究人员披露了Ollama人工智能框架中的六个安全漏洞,这些漏洞可能被恶意行为者利用,执行包括拒绝服务(DoS)、模型污染和模型盗窃在内的多种恶意行为。
据监测,当前已出现了有攻击者通过自动化脚本扫描到暴露的DeepSeek服务器,并恶意占用大量计算资源,导致部分用户服务器崩溃的事件。
为应对这些问题,奇安信专家建议,所有部署DeepSeek服务的企业和个人应立即采取有效的安全防护措施,例如尽快修改Ollama配置,加入身份认证手段,同时及时修改防火墙、入侵检测等相关安全配置,如制定IP白名单限制访问,确保只有授权人员能够访问模型服务。同时,在大模型运行中,需要对所有传输的数据进行加密,避免在遭遇攻击及数据窃取时泄露敏感信息,并可通过部署安全工具来抵御针对应用服务的传统网络攻击,尤其对大模型应用特有的越狱、提示词注入等攻击进行防护。
此外,安全专家还提醒个人用户,应警惕不知名厂商提供的DeepSeek大模型服务,一些不良厂商使用被盗资源对外售卖,骗取钱财的同时,还可实时监控用户提交的所有数据,可造成隐私泄露。
- 991一名模范,折射耒阳养老服务“大蝶变”|敬老院|民政局|市民政局|耒阳市_网易新闻
- 982逾期一天还了最低还款会怎么样,逾期一天可以还最低还款额吗,逾期一天还最低影响征信吗,逾期1天还能最低还款吗?
- 9832025年评分最高的10部“年代剧”,《老舅》仅第3,第1实至名归_腾讯新闻
- 984变革成为国产剧关键词
- 985央行宣布降准、降息、下调个人住房公积金贷款利率_腾讯新闻
- 966杭州天然气热值检测
- 957抖音商城数码3C国补上新,买手机立减15%_腾讯新闻
- 908今晚开播!36集谍战剧《潜渊》来袭,黄晓明领衔,有谍战剧王潜质_腾讯新闻
- 909湘南学院获批湖南省“数字技术工程师”培训资质_网易新闻