除了对DeepSeek发动大规模黑客攻击外，美国的网络安全企业也没有闲着，过去数日针对DeepSeek安全和隐私问题的“黑报告”接连出炉。继多伦多大学Citizen Lab声称“DeepSeek比TikTok更可怕，会不断采集用户聊天数据和个人信息”后，总部位于芝加哥的移动安全公司NowSecure近日发布了一份针对DeepSeek iOS应用的深度安全与隐私评估报告，声称DeepSeek的APP存在多个“严重漏洞”，不仅威胁到个人用户的数据安全，也对企业和政府机构构成重大风险。

以下，我们将报告的主要内容编译整理如下，不代表GoUpSec观点，仅供网络安全行业人士参考：

报告强调，DeepSeek iOS应用在数据传输过程中未加密处理，导致敏感信息极易被拦截和篡改。此外，该应用采用过时的加密算法（如Triple DES）并使用弱硬编码密钥，严重违反行业安全标准。同时，用户名、密码和加密密钥的存储方式不安全，进一步增加了凭证被盗取的风险。更令人担忧的是，该应用会收集大量用户和设备信息，并将数据传输至中国字节跳动（ByteDance）控制的服务器，引发政府访问和合规性风险。

报告称，深度分析发现，DeepSeek iOS应用未能保障用户数据的基本安全性。例如，应用在网络传输过程中未对注册信息和设备数据进行加密，攻击者可利用这一漏洞实施被动或主动攻击，窃取用户敏感信息。此外，NowSecure研究人员在设备上运行并测试该应用时，发现其存储机制极不安全，用户名、密码等关键凭据以明文形式存储。

研究表明，该应用默认使用NSURLRequest API进行缓存，这意味着HTTP请求和响应数据可能被存储到本地缓存文件，攻击者若获得物理访问权限，即可轻松恢复这些数据。

报告称，DeepSeek应用收集的用户数据范围广泛，不仅涉及操作系统信息、网络配置、用户行为模式，还能通过外部数据源进行用户画像分析，形成精准追踪能力。这一情况与近年来数据经纪人（如Gravy Analytics）泄露事件类似，可能被用于更复杂的监视和情报收集活动。

NowSecure研究人员发现，DeepSeek iOS应用的数据传输目的地为字节跳动旗下的云服务Volcengine，尽管部分服务器位于美国，但其后台数据链路仍与中国公司存在关联。考虑到中国政府对数据访问的法律要求，DeepSeek用户数据存在被国家机构获取的潜在风险。

报告称，DeepSeek iOS应用不仅未能利用苹果生态系统内的安全防护措施，反而主动禁用了关键安全功能。例如，它关闭了App Transport Security（ATS），允许未加密数据的传输。此外，该应用还访问了多个隐私敏感API，包括系统启动时间、磁盘空间、文件时间戳等，可能被用于设备指纹识别和用户追踪。

应用的隐私政策和服务条款亦显示，其数据收集策略宽泛，用户数据将受到外国法律管辖，这进一步加剧了数据滥用的可能性。

面对DeepSeek应用的所谓“安全问题”，NowSecure建议企业和政府机构采取以下应对措施：

• 立即禁用DeepSeek iOS应用：在所有企业管理设备和BYOD环境中移除该应用，以防止潜在数据泄露。

  
  

• 选择安全替代方案：探索安全性更高的人工智能平台，例如自托管版本或微软等公司提供的可信AI解决方案。

  
  

• 强化移动安全监控：持续评估移动应用的安全性，防范新兴网络威胁，确保符合数据安全和隐私保护法规。

全球范围内，目前仅有美国为首的少数几个国家和政府机构对DeepSeek应用采取限制措施。包括澳大利亚、意大利、荷兰、韩国在内的政府部门，以及美国国会、NASA、海军、五角大楼、德克萨斯州等政府机构已禁止在官方设备上使用DeepSeek。伦敦国王学院AI研究所顾问Lukasz Olejnik指出，2025年，美国政府可能会针对中国AI公司展开更严格的制裁。

参考链接：

https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-flaws-in-deepseek-ios-mobile-app/