背景

　　DeepSeek在醫院的本地化部署已成燎原之勢，從2月初第一家醫院報道本地化完成部署后，DeepSeek就以迅猛之勢開始席卷整個醫療行業，據報道目前全國已有超過100家醫院宣布完成DeepSeek本地化部署。從勢頭看，將會有越來越多的醫院把DeepSeek引入醫院信息系統中。作為網絡安全工程師，必須同步跟進做好安全評估，解決由此帶來的安全管理問題，加強網絡安全建設，確保醫院在利用先進技術的同時網絡風險可控，安全有保障。

一 本地化部署帶來的安全風險

　　1.工具帶來的安全漏洞

　　考慮到醫療數據的敏感性，醫院進行DeepSeek部署時更傾向于本地部署，雖然本地化部署削減了醫療數據外泄風險，但也面臨著其他一些安全風險。

　　在AI大模型的應用中，部署工具的安全性至關重要。Ollama作為一款開源的本地大語言模型運行框架，支持包括DeepSeek在內的多種預訓練語言模型，OpenWebUI是一款用于大語言模型交互的網頁用戶界面工具，為用戶與大語言模型之間搭建了一個便捷、可視化的溝通橋梁。這兩個工具軟件都是我們在做大模型部署和開發中常用到的，相信大家也不會陌生，但是他們都先后出現過安全漏洞。

　　Ollama曾出現過嚴重的遠程代碼執行(RCE)漏洞，編號為CVE-2024-37032。多家網絡安全監測機構已經報道過該漏洞的存在，該漏洞存在于Ollama的某個核心組件，攻擊者可通過構造特定惡意請求觸發，且無需高權限即可利用，攻擊過程隱蔽，難以被常規安全檢測手段發現。

　　OpenWebUI出現過文件上傳漏洞(CVE - 2024 - 6707)，攻擊者可通過偽造上傳文件名，將文件上傳至任意目錄，進而實現任意代碼執行或遠程命令執行。

　　黑產組織“銀狐”就針對DeepSeek的本地化部署開展過網絡攻擊，通過捆綁正常的“ds大模型安裝助手”程序，針對試圖自動化部署DeepSeek的人員實施攻擊植入HackBrian RAT遠程訪問木馬，并回連位于境外的服務器。

　　2.默認端口暴露風險

　　在使用Ollama部署DeepSeek時，默認端口暴露也是一個不容忽視的安全隱患，默認端口11434被廣泛知曉。許多用戶在部署過程中，由于對安全配置的忽視或不熟悉，直接使用了默認端口，這就為攻擊者提供了可乘之機。

　　默認端口暴露使得攻擊者能夠輕易識別目標系統，增加了系統被攻擊的風險。攻擊者可以通過端口掃描工具，快速發現使用默認端口的DeepSeek部署實例。一旦確定目標，他們就可以利用各種已知的攻擊手段，嘗試入侵系統。

　　在實際的網絡攻擊場景中，有不少攻擊者專門針對默認端口進行掃描和攻擊。他們利用自動化工具，對互聯網上的IP地址進行大規模掃描，尋找使用默認端口的目標。一旦發現，就會迅速發動攻擊，嘗試獲取未授權訪問權限，進而竊取數據、篡改系統配置或植入惡意軟件。

　　3.未授權的訪問風險

　　未授權訪問是使用Ollama部署DeepSeek時面臨的另一個重大安全風險。Ollama服務開啟后，API默認開啟且無訪問控制權限校驗，這就導致API接口存在未授權訪問的問題。攻擊者可以通過此接口直接調用用戶部署的AI大模型，從而引發一系列嚴重后果。

　　由于Ollama本身并沒做權限校驗，一旦攻擊者獲取了部署DeepSeek開放的端口號，就能任意調用模型，獲取用戶輸入的敏感數據，或者利用模型執行惡意操作，如刪除用戶部署的大模型，威脅用戶數據安全。攻擊者還可以通過API部署其他大模型，占用服務器存儲資源，導致用戶其他數據無法正常存儲。此外，惡意攻擊者可通過此接口批量發送大量會話內容，形成針對大模型會話的DoS攻擊，占用服務器大量資源，使正常業務無法進行。

　　雖然前面所提到的安全漏洞已在后續的新版本中進行了修復，但由于Ollama、OpenWebUI和DeepSeek均為開源軟件，可能存在未公開或潛在的0day，在沒有權限校驗的情況下一旦攻擊者利用0day發起攻擊，其攻擊路徑可謂暢通無阻，因此增加必要的授權管理十分必要。

　　4.未受限的全面接入風險

　　從部署進度來看，近一個多月各家醫院的快速接入，很大一部分單位僅是完成了大模型應用的第一步，即：實現了DeepSeek與業務系統的嵌入式調用。如果沒有考慮對DeepSeek進行能力上的安全管控，那安全風險是巨大的。就如同幼年的哪吒一樣，由于各項技能無法控制捅出一系列簍子，被眾人看作妖魔。例如，不會寫代碼的人也可以通過提示詞讓DeepSeek連接數據庫，獲取核心數據。這要求對于強大的它來說易如反掌，原本安全上設置的安全防線在它面前就形同虛設了，自然也就談不上什么數據安全。所以需要防范“有心人”利用內部部署的DeepSeek做違規之事。

二 醫療場景安全加固建議

　　1.修改默認端口

　　修改默認端口是增強DeepSeek安全性的重要舉措。在網絡環境中，默認端口往往是攻擊者掃描和攻擊的重點目標。以使用Ollama部署DeepSeek為例，其默認端口11434被廣泛知曉，攻擊者可通過端口掃描工具輕易發現使用該默認端口的部署實例，進而針對性地發動攻擊。修改默認端口后，攻擊者在掃描時難以直接定位目標，大大增加了攻擊難度，有效降低了被攻擊的風險。

　　2.增加鑒權模塊

　　鑒權是驗證用戶身份和權限的過程，通過設置用戶名和密碼、使用令牌(Token)等方式，確保只有合法用戶能夠訪問DeepSeek服務。在增加鑒權模塊后，未授權的用戶無法直接調用模型API，能夠大幅提高模型安全。鑒權模塊如下：

　　3.屏蔽非必要接口

　　屏蔽非必要接口對防止非法訪問具有重要意義。若這些接口未被妥善保護，攻擊者可利用它們進行惡意操作，如刪除重要模型、上傳惡意模型進行投毒攻擊等，嚴重威脅系統的安全性和穩定性。

　　4.做好業務管控和權限管理

　　提供多級權限管理體系，實現部門級AI能力分層管控，可有效控制不同用戶對模型和數據的訪問權限。增加法律合規過濾模塊，自動規避敏感內容生成，有助于防止生成違反法律法規或道德規范的內容。

　　5.為DeepSeek加上"緊箍咒"

　　利用大模型開發工具，增加必要的工作流，讓大模型專注于某項技能，限制其功能的發揮，例如關閉其自動代碼生成功能;針對不同應用場景生成不同的智能體，將權限細化，既能夠利用人工智能技術解決臨床需求，也能很好的進行安全管控。

　　6.對于微調后的模型需要反復測試，減少AI幻覺

　　甚至在AI幻覺目前尚沒有很好處理辦法的情況下，DeepSeek最好不用于醫療輔助診斷。畢竟對于一個醫院來說，無論是患者服務、資源管理、流程管控等等有很多的場景可以使用，大家在不斷的使用過程中去積累經驗，找到抑制AI幻覺的辦法。畢竟醫療質量和安全才是我們應用的根本。

　　作者簡介

　　1 黃昊，CHIMA常委

　　2 秦蔚蓉，重慶大坪醫院信息科工程師