【2025-02-07 20:59:00AI Siri网最新消息】
榜首的人工智能手机应用DeepSeek被发现向中国公司发送数据,并收集大量用户数据,这些数据以未经加密的方式保存和传送。
DeepSeek是一款生成式人工智能应用,类似于ChatGPT,于2025年1月上线,并迅速登顶美国App Store排行榜。这一成功发生在DeepSeek的中国人工智能初创公司被发现存在严重安全隐患之后。
安全公司NowSecure的联合创始人安德鲁·霍格(Andrew Hoog)在接受Ars Technica的采访时表示:“DeepSeek没有能力或意愿提供基本的数据和身份安全保护。基本的安全实践未被遵守,这些可能是故意或无意的。最终,这使您的数据和身份面临风险。”
位于芝加哥的NowSecure移动安全公司指出,DeepSeek的iOS应用存在多个安全与隐私问题,具体包括:
- 敏感数据以未加密形式发送
- 用户数据存储不安全
- 应用收集大量用户及设备数据
- 用户数据被发送至中国公司的服务器
NowSecure还指出,尽管DeepSeek使用了加密,但采用的是3DES加密法。该加密方案自2016年以后就被淘汰,因为研究表明其存在被攻破的风险。
此外,当前实现的3DES加密使用对称密钥,而DeepSeek在应用中硬编码了这些密钥,这意味着每个用户使用相同的加密密钥。
该应用还禁用了苹果的应用传输安全协议(App Transport Security),本应强制执行数据加密。DeepSeek并未说明为何禁用该协议,苹果也未对此作出评论。
当数据存储在字节跳动的服务器上时,便会被解密。在这一点上,这些数据可以被用来识别特定用户并潜在地追踪查询。
除了违反安全最佳实践外,该解密过程的意义在于,尽管服务器由字节跳动控制,但该公司必须遵循中国法律有关政府访问的规定。这也是美国要求字节跳动出售TikTok的原因所在。
NowSecure表示,将继续对DeepSeek进行研究,并指出其Android版本的安全性甚至低于iOS版本。
