中國 AI 新創 DeepSeek 近期因開源 AI 助手爆紅,短短數日內登上 iPhone App Store「免費應用」榜首,超越 ChatGPT。NowSecure 報導指出,DeepSeek iOS 版應用程式在全球範圍內關閉了 Apple 的 App Transport Security(ATS),導致數據透過未加密的 HTTP 傳輸,任何能監測流量的攻擊者都可能攔截或篡改數據。此外,DeepSeek 應用程式將部分數據傳送至中國科技巨頭 ByteDance(字節跳動)旗下的伺服器,雖然部分內容經過 TLS 加密,但一旦在伺服器端解密後,可能會與其他數據交叉比對,以識別特定用戶並追蹤其查詢內容。
過時加密技術
DeepSeek 應用程式使用已遭 NIST 廢棄的 3DES 加密技術,易受攻擊。此外,其對稱加密密鑰不僅對所有 iOS 用戶相同,且直接硬編碼在應用程式內,可能讓攻擊者輕易取得並破解數據。
美政府擬禁用 DeepSeek
DeepSeek 隱私政策顯示,該公司將數據存放於中國,並可能與執法機構共享。美國國會已提案禁止 DeepSeek 在政府裝置上運行,擔憂其暗藏後門,讓中國政府存取敏感資訊,最快 60 天內恐遭禁用。
資安專家批評
多名資安專家批評 DeepSeek 安全漏洞嚴重,Huntress 公司的 Thomas Reed 指出:「ATS 被禁用是不應該發生的事。」runZero 創辦人 HD Moore 也表示:「未加密的 HTTP 端點不可原諒,讓任何人都能攔截數據。」
