DeepSeek回应「think」隐私漏洞:系模型幻觉,非数据泄露
官方澄清:问题根源为模型幻觉
针对近期引发广泛关注的「输入 <think 可泄露他人聊天记录」漏洞,DeepSeek于5月19日正式发布排查结果,证实该问题系模型幻觉所致,并非多租户隔离失效或实际隐私数据泄露。
此前,有安全研究人员在GitHub上报告了这一问题(Issue #840):在DeepSeek对话系统中,攻击者可在全新的空对话中仅发送不闭合的 <think 标签,模型便会返回其他用户的对话历史片段,疑似违反基本的会话隔离原则。
技术原理解析
据新浪财经记者实测发现,该漏洞仅存在于DeepSeek网页版。当输入不闭合的 <think 标签时,模型会将用户输入识别为特殊的token,破坏正常对话结构,导致模型退化为无约束的训练数据续写模式。换言之,模型并非真正读取了其他用户的对话,而是基于自身训练数据「幻觉」出了看似真实的历史对话片段。
值得注意的是,当在其他平台(如腾讯元宝)选择DeepSeek模型后输入同样内容时,模型能够正确识别输入字符,不会触发该问题,表明该缺陷具有平台特异性。
后续修复计划
DeepSeek在声明中表示,将通过针对性训练增强模型对特殊字符的识别与处理能力,从根本上修复这一缺陷,防止特殊标记诱导模型触发训练数据提取行为。
此次事件也再次引发业界对大语言模型安全边界的关注。在模型层面,开源模型本身不存在后端隔离问题——真正的风险在于产品化部署时的会话管理机制。安全研究人员指出,理解模型行为与实际系统架构之间的差异,对于准确评估AI产品的安全风险至关重要。