本週最受到全球關注的科技大事,莫過於號稱以極成本打造匹敵ChatGPT的中國AI工具DeepSeek,不僅造成了股市動盪,甚至本週OpenAI免費開放ChatGPT的網路搜尋功能,也有人認為與這款中國AI工具橫空出世有關。
然而有多家資安業者發現,DeepSeek R1模型的資安風險不容忽視,能輕易被越獄用於犯罪,而且,行動裝置版App也存在資安風險,該公司亦明確表明資料存放於中國,並會提供其他企業組織及執法機關運用。對此,也傳出美國朝野打算立法禁止政府機關使用的情況。
【攻擊與威脅】
DeepSeek R1大型語言模型存在資安弱點,恐被越獄用於網路犯罪
中國AI業者DeepSeek因號稱使用低成本打造出色推理能力的AI模型,在全球科技界引起矚目,甚至有人認為能與市場AI龍頭一較高下,但有多家資安業者指出,該公司旗下的AI模型DeepSeek R1存在嚴重的資安風險,能被越獄並用於網路犯罪。
資安業者Kela、Palo Alto Networks,以及思科先後針對此事提出警告。Kela旗下的AI紅隊指出,他們發現能在各種情況能對DeepSeek R1進行越獄,使得這款AI模型能產生惡意輸出的內容,例如:開發勒索軟體、偽造幾可亂真的敏感資訊,或是提供製作毒品和爆炸性武器詳細的製作步驟。
另一家資安業者Palo Alto Networks利用三種越獄手法進行測試,這些手法分別是:Bad Likert Judge、Crescendo Jailbreak、Deceptive Delight,結果研究人員輸入一系列的提示內容,成功突破DeepSeek R1的防護,得到能被用於犯罪的回答。
思科也加入驗證AI安全性的行列,他們揭露旗下併購的威脅情報業者Robust Intelligence與賓夕法尼亞大學研究人員聯手調查的結果,研究團隊使用演算法越獄手法,從HarmBench資料集隨機產生50個提示對該AI模型進行自動化測試,結果成功率達到100%。
iOS版DeepSeek應用程式存在多項漏洞,採用不安全機制傳輸資料
資安廠商NowSecure針對iOS版DeepSeek進行完整的安全與隱私評估,發現多項重大漏洞,可能危及個人、企業和政府。研究小組發現的主要風險涉及資料蒐集和處理方式、資料加密、資料儲存等面向。
首先,DeepSeek在未加密情形下網路連線上傳送部分應用程式註冊和裝置資料,令攻擊者得以監控所有流量和使用者資訊。雖蘋果有內建App Transport Security(ATS)協定讓用戶能加密線上傳送的資料,但DeepSeek全球版本的應用程式都關閉此項加密機制。另外,具權限的攻擊者還可能以中間人攻擊(MiTM)手法截取和修改傳送的資料,危及App和資料。
值得留意的是,DeepSeek的隱私政策頁明確指出,該公司蒐集的資料儲存在中國境內的安全伺服器,而且他們會基於法遵等理由,得以存取、保存蒐集到的資訊分享給執法機關、主管單位、版權持有者,或是其他有必要的第三方單位。
逾3千個曝露的ASP. NET金鑰遭到濫用,攻擊者用於散布惡意程式框架
程式碼儲存庫公開的帳密資料,近年來已經成為駭客用於攻擊的資源,其中最常被利用的來源是存放於GitHub的資料,如今有人針對特定類型的金鑰下手,發動類似型態的攻擊行動。
微軟威脅情報團隊於去年12月發現一起攻擊行動,有人利用公開的ASP.NET靜態金鑰注入惡意程式碼,目的是散布後利用框架Godzilla。在調查過程裡,他們發現這起事故是開發人員不安全的實作釀禍,將這些金鑰不慎在公開的程式碼文件或儲存庫曝光,而讓歹徒有可乘之機。
研究人員總共確認有超過3千個金鑰被用於這起事故,他們將這種攻擊行動歸納為ViewState程式碼注入攻擊,但有別於過往出現的ViewState攻擊,最大的差異在於金鑰的取得管道,以往駭客通常是透過地下管道購得,但如今是直接使用開發人員公開暴露的金鑰。
英國傳出向蘋果施壓,要求提供能存取iCloud加密備份的後門
政府為了執法需求要求企業提供使用者的資料,引發是否侵犯使用者隱私的兩派論戰,如今甚至出現政府動用法律要企業就範的情況。根據華盛頓郵報的報導,英國政府下達密令,要求蘋果開啟後門,允許英國政府存取任何蘋果用戶的iCloud加密備份。
英國政府這次下令的法源,是根據「監聽者憲章(Snooper's Charter)」的《2016年調查權法案》。報導引述消息人士指出,英國政府上個月發布名為技術能力通知(Technical Capability Notice)的命令,希望透過這後門讓他們能存取蘋果帳號以全程加密(E2EE)上傳到iCloud的檔案備份的完整內容。值得留意的是,英國政府要求能存取的對象並非只有英國人,而是全球用戶。
華盛頓郵報引述知情人士的說法,向來抵抗行政部門開後門要求的蘋果,可能會停止在英國提供相關加密儲存服務,但這麼做恐無法滿足英國政府的要求。
其他攻擊與威脅
◆北韓駭客Kimsuky散布竊資軟體ForceCopy,並透過開源RDP工具控制受害電腦
◆行動應用程式惡意SDK鎖定安卓、iOS用戶而來,被感染的App已從市集被下載逾24萬次
◆資產生命週期管理軟體Cityworks漏洞出現攻擊行動,駭客藉此入侵IIS伺服器部署Cobalt Strike
◆Cloudflare R2儲存桶服務中斷,起因是阻擋釣魚網址出錯
【漏洞與修補】
Dell修補PowerProtect DD儲存設備大量漏洞,包括導致系統與資料受損的嚴重漏洞
身為儲存與伺服器設備領導廠商之一的Dell,於2月5日發布旗下主力備份儲存伺服器產品PowerProtect DD的安全性更新DSA-2025-022,修補了180多個漏洞,包括7個高危險性的重大漏洞。
這次Dell修補的漏洞,影響的DD OS作業系統軟體版本涵蓋7.10、7.13、7.7.1到8.1版,以及搭載這些軟體的PowerProtect DD儲存應用伺服器、PowerProtect DD Virtual Edition虛擬化版,Dell APEX Protection Storage雲端服務,PowerProtect DD Management Center管理控制臺。若要解決這些資安風險,需要盡快是將DD OS更新到7.10.1.50、7.13.1.20、8.3.0.0版以後的版本。
【資安防禦措施】
美國眾議院跨黨派聯手提出法案,禁止聯邦政府公務設備使用DeepSeek AI
美國眾議院正推動禁止聯邦政府設備使用人工智慧應用程式 DeepSeek,理由是該應用涉及中國政府,可能對美國國家安全構成威脅。民主黨眾議員Josh Gottheimer與共和黨議員Darin LaHood提出《No DeepSeek on Government Devices Act》,該法案明確禁止聯邦政府員工在政府配發的設備上使用DeepSeek。兩位議員皆為眾議院情報委員會成員,在上一屆國會分別擔任美國國安局與網路安全小組的資深議員與主席。
法案提出的背景是新研究揭露,DeepSeek的程式碼與中國共產黨(CCP)有直接關聯性,而且與中國移動(China Mobile)共享使用者資料。中國移動是中國政府持有的企業,與中國軍方關係密切,已遭美國聯邦通訊委員會(FCC)禁止在美國提供服務。議員擔憂DeepSeek可能成為中國政府獲取美國用戶敏感資訊的管道,影響範圍涵蓋商業合約、財務資料及其他機密文件,進而帶來潛在的國安風險。
其他資安防禦措施
近期資安日報
【2月7日】義大利政府驚傳利用間諜軟體Paragon監控記者及異議人士
熱門新聞
2025-02-08
2025-02-11
2025-02-10
2025-02-10
2025-02-12
2025-02-08