除了對DeepSeek發動大規模黑客攻擊外，美國的網絡安全企業也沒有閑著，過去數日針對DeepSeek安全和隱私問題的“黑報告”接連出爐。繼多倫多大學Citizen Lab聲稱“DeepSeek比TikTok更可怕，會不斷采集用戶聊天數據和個人信息”后，總部位于芝加哥的移動安全公司NowSecure近日發布了一份針對DeepSeek iOS應用的深度安全與隱私評估報告，聲稱DeepSeek的APP存在多個“嚴重漏洞”，不僅威脅到個人用戶的數據安全，也對企業和政府機構構成重大風險。

以下，我們將報告的主要內容編譯整理如下，不代表GoUpSec觀點，僅供網絡安全行業人士參考：

報告強調，DeepSeek iOS應用在數據傳輸過程中未加密處理，導致敏感信息極易被攔截和篡改。此外，該應用采用過時的加密算法（如Triple DES）并使用弱硬編碼密鑰，嚴重違反行業安全標準。同時，用戶名、密碼和加密密鑰的存儲方式不安全，進一步增加了憑證被盜取的風險。更令人擔憂的是，該應用會收集大量用戶和設備信息，并將數據傳輸至中國字節跳動（ByteDance）控制的服務器，引發政府訪問和合規性風險。

數據暴露與不安全存儲的隱私問題

報告稱，深度分析發現，DeepSeek iOS應用未能保障用戶數據的基本安全性。例如，應用在網絡傳輸過程中未對注冊信息和設備數據進行加密，攻擊者可利用這一漏洞實施被動或主動攻擊，竊取用戶敏感信息。此外，NowSecure研究人員在設備上運行并測試該應用時，發現其存儲機制極不安全，用戶名、密碼等關鍵憑據以明文形式存儲。

研究表明，該應用默認使用NSURLRequest API進行緩存，這意味著HTTP請求和響應數據可能被存儲到本地緩存文件，攻擊者若獲得物理訪問權限，即可輕松恢復這些數據。

用戶追蹤與去匿名化風險

報告稱，DeepSeek應用收集的用戶數據范圍廣泛，不僅涉及操作系統信息、網絡配置、用戶行為模式，還能通過外部數據源進行用戶畫像分析，形成精準追蹤能力。這一情況與近年來數據經紀人（如Gravy Analytics）泄露事件類似，可能被用于更復雜的監視和情報收集活動。

數據傳輸至字節跳動，合規性存疑

NowSecure研究人員發現，DeepSeek iOS應用的數據傳輸目的地為字節跳動旗下的云服務Volcengine，盡管部分服務器位于美國，但其后臺數據鏈路仍與中國公司存在關聯。考慮到中國政府對數據訪問的法律要求，DeepSeek用戶數據存在被國家機構獲取的潛在風險。

iOS安全機制缺失，加劇隱私風險

報告稱，DeepSeek iOS應用不僅未能利用蘋果生態系統內的安全防護措施，反而主動禁用了關鍵安全功能。例如，它關閉了App Transport Security（ATS），允許未加密數據的傳輸。此外，該應用還訪問了多個隱私敏感API，包括系統啟動時間、磁盤空間、文件時間戳等，可能被用于設備指紋識別和用戶追蹤。

應用的隱私政策和服務條款亦顯示，其數據收集策略寬泛，用戶數據將受到外國法律管轄，這進一步加劇了數據濫用的可能性。

面對DeepSeek應用的所謂“安全問題”，NowSecure建議企業和政府機構采取以下應對措施：

• 立即禁用DeepSeek iOS應用：在所有企業管理設備和BYOD環境中移除該應用，以防止潛在數據泄露。
• 選擇安全替代方案：探索安全性更高的人工智能平臺，例如自托管版本或微軟等公司提供的可信AI解決方案。
• 強化移動安全監控：持續評估移動應用的安全性，防范新興網絡威脅，確保符合數據安全和隱私保護法規。

結語：誰在封殺DeepSeek？

全球范圍內，目前僅有美國為首的少數幾個國家和政府機構對DeepSeek應用采取限制措施。包括澳大利亞、意大利、荷蘭、韓國在內的政府部門，以及美國國會、NASA、海軍、五角大樓、德克薩斯州等政府機構已禁止在官方設備上使用DeepSeek。倫敦國王學院AI研究所顧問Lukasz Olejnik指出，2025年，美國政府可能會針對中國AI公司展開更嚴格的制裁。