专家标记安全性，DeepSeek AI应用中的隐私风险

中国人工智能（AI）公司的新移动应用DeepSeek自2025年1月25日首次亮相以来，他们一直是Apple和Google设备的前三名免费下载。钥匙，并将未加密的用户和设备数据发送给中国公司 - 引入了许多明显的安全性和隐私风险。

公众对DeepSeek AI聊天应用程序的兴趣广泛膨胀媒体报道说，新贵中国人工智能公司设法匹配了尖端聊天机器人的能力，同时使用了带领AI公司依靠的专用计算机芯片的一小部分。截至撰写本文时，DeepSeek是Apple Store上第三大的免费应用程序，在Google Play上排名第一。

DeepSeek的快速上升引起了移动安全公司的注意NowSecure是一家位于芝加哥的公司，可帮助客户屏幕移动应用程序，以应对安全和隐私威胁。在拆卸NowSecure在今天发布的DeepSeek应用程序中，敦促组织从其环境中删除DeepSeek iOS移动应用程序，理由是安全问题。

NowSecure创始人安德鲁·霍格（Andrew Hoog）他们说，他们尚未得出过对DeepSeek应用程序的深入分析安卓设备，但是没有理由相信其基本设计在功能上会大不相同。

Hoog告诉Krebsonsecurity，关于DeepSeek iOS应用程序有许多素质暗示存在深层安全和隐私风险。他说，对于初学者来说，该应用程序收集了有关用户设备的大量数据。

Hoog说：“他们正在做一些非常有趣的事情，这些事情在高级设备指纹的边缘，并指出该应用程序的一个属性跟踪设备名称的名称，对于许多iOS设备而言，默认为客户的名称后面是iOS设备的类型。

共享的设备信息，与用户的Internet地址结合在一起从移动广告公司收集的数据Nowsecure警告说，可以用来将DeepSeek iOS应用程序的用户脱颖而出。该报告指出，DeepSeek与Volcengine，一个由云平台开发的兽（制造商蒂克托克），尽管NowSecure表示，是否清楚数据是否只是利用了BOCTEDANCE的数字转换云服务，或者声明的信息份额是否在两家公司之间进一步扩展。

Nowsecure说，也许更令人担忧的是，iOS应用程序在清晰的情况下传输了设备信息，而无需任何加密即可封装数据。这意味着该应用程序正在处理的数据可以截获，阅读，甚至由任何访问携带应用程序流量的网络的人进行截获，阅读甚至修改。

该报告观察到，DeepSeek iOS应用程序全球禁用应用程序传输安全性（ATS），这是一个iOS平台级别的保护，可防止敏感数据通过未加密的渠道发送。”由于禁用了此保护，因此该应用程序可以（并且确实）通过Internet发送未加密的数据。

Hoog说，该应用程序确实有选择地加密来自DeepSeek服务器的响应部分。但是他们还发现它使用了不安全的，现在已弃用的加密算法称为3DES（又名三重），并且开发人员对加密密钥进行了硬编码。这意味着可以从应用本身提取这些数据字段所需的加密密钥。

报告中突出了其他较少的，令人震惊的安全性和隐私问题，但Hoog说，他有信心在应用程序的守则中有其他潜伏的安全性问题。

hoog说，当我们看到人们表现出非常简单的编码错误时，当您更深入地挖掘时，通常会有更多的问题。”``在安全或隐私方面几乎没有优先级。无论是文化，还是由中国授权的，或者是一个机智的选择，它们都指出了安全和隐私控制的显着失误，这使公司处于危险之中。

显然，许多其他人都有这种观点。轴 报告1月30日，美国国会办公室被警告不要使用该应用程序。

[T] Hreat演员已经在利用DeepSeek来提供恶意软件并感染设备，”阅读众议院首席行政官的通知。为了减轻这些风险，众议院采取了安全措施，以限制所有房屋发行的设备的DeepSeek功能。”

TechCrunch 报告意大利和台湾已经采取行动，以禁止担心安全问题。彭博 写信那五角大楼已经阻止了进入DeepSeek的访问。CNBC 说 NASA还禁止员工使用该服务，美国海军。除了与DeepSeek iOS应用程序有关的安全问题之外，还有一些迹象表明，中国人工智能公司可能会快速播放，并随着从用户和用户收集的数据而播放。

1月29日，研究人员威兹 说他们发现了一个链接到DeepSeek的公共访问数据库，该数据库暴露了大量的聊天历史记录，后端数据和敏感信息，包括日志流，API秘密和操作细节。”

威兹写道，更重要的是，这种暴露允许在DeepSeek环境中进行完整的数据库控制和潜在的特权升级，而没有对外界进行任何身份验证或防御机制。”[全面披露：Wiz目前是该网站上的广告商。]

克雷布森（Krebsonsecurity）对DeepSeek和Apple的报告寻求评论。这个故事将通过任何实质性答复进行更新。