数据安全

研究人员近期揭示了流行插件“GPT for Google Sheets”中的严重安全漏洞，攻击者可通过间接提示词注入（Indirect Prompt Injection）将用户整个工作簿的数据静默传输至第三方服务器，威胁数百万企业及个人用户的数据安全。 ▶ 插件权限模型缺陷：第三方AI插件往往拥有过高的工作表读写权限，且在渲染AI生成的Markdown或图片链接时缺乏有效过滤，导致数据可被编码并外传。 ▶ 提示词注入新战场：AI不再仅仅局限于对话框，集成在生产力工具中的AI已成为数据窃取的隐形跳板，攻击者只需在单元格中植入恶意指令即可触发。 八卦洞察 这一漏洞的爆发并非偶然，它揭示了当前生成式AI集成生态中普遍存在的“结构性错位”。在追求AI提效的过程中，开发者往往优先考虑功能的无缝衔接，却忽视了LLM输出内容在SaaS环境中的不可控性。这不仅是一个技术Bug，更是“影子AI”（Shadow AI）治理失控的典型案例：员工为了自动化处理报表，绕过IT审计安装未经审核的插件，从而将企业的核心资产暴露在缺乏边界保护的AI推理链路中。对于攻击者而言，这是一种低成本、高隐蔽性的工业间谍手段。 行动建议 权限审计：企业IT部门应立即审查Google Workspace后台，识别并禁用拥有“全量表格访问权”的非官方AI插件。 实施最小权限原则：在处理包含PII（个人身份信息）或商业机密的工作簿时，严禁开启任何第三方AI自动化工具。 增强DLP策略：更新数据防泄露（DLP）规则，重点监控从生产力工具发出的、包含Base64编码或异常URL参数的外部请求。

近日，Reddit 社区爆出 DeepSeek 存在严重安全漏洞：用户通过输入特定字符序列，竟能意外触发并获取其他用户的历史对话内容。这一事件迅速引发了全球 AI 圈对大模型多租户架构隔离性的高度关注。 ▶ 底层架构缺陷： 此次泄露并非简单的逻辑错误，而是暴露出 DeepSeek 在追求极致推理效率和低成本时，可能在后端会话管理（Session Management）和 KV 缓存隔离上存在严重的架构性疏忽。 ▶ 信任红利透支： 作为近期风头正劲的低成本 AI 挑战者，此次隐私事故将重创其在企业级市场的信用背书，证明了“廉价算力”背后可能隐藏着巨大的安全合规成本。 八卦洞察 在 AI 推理成本战中，DeepSeek 凭借极高的性价比脱颖而出，但此次“串号”事件揭开了行业遮羞布。为了提升吞吐量，许多 Web 端 AI 平台采用共享后端和激进的缓存策略。如果推理流水线（Inference Pipeline）在处理并发请求时，未能实现物理或逻辑上的严格状态隔离，不同用户的 Context（上下文）极易在内存池中发生交叉污染。这不仅是 DeepSeek 的危机，更是所有追求“快与省”的 GenAI 厂商必须面对的技术债。安全边界在大模型时代正变得模糊，而这种“随机撞库”式的泄露，比传统的黑客攻击更难防范。 行动建议 1. 立即停止敏感操作： 在官方确认彻底修复前，严禁在 DeepSeek 公共 Web 端输入任何涉及商业机密、个人隐私或敏感代码的数据。2. 转向私有化部署： 对于有合规要求的企业，应优先考虑通过 API 调用并配合 VPC（虚拟私有云）环境，或直接进行本地化模型部署，从物理层面切断共享后端的风险。3. 强化数据脱敏： 无论使用何种大模型，前端必须建立严密的数据脱敏（PII Masking）机制，确保即便发生会话泄露，核心资产也不会以明文形式暴露。

事件核心美国国防部（DoD）近期正式与英伟达、微软及亚马逊云科技（AWS）签署战略协议，旨在将其先进的人工智能模型与算力基础设施部署至国防部的机密网络中。此举标志着美军在推进“人工智能作战化”进程中，正从单一依赖转向多供应商生态系统，以规避技术垄断与地缘政治合规风险。技术/商业细节此次合作的核心在于解决“空隙（Air-gapped）”环境下的AI部署难题。不同于公共云环境，机密网络要求极高的安全性与数据隔离。英伟达将提供定制化的GPU算力堆栈，微软与AWS则负责构建私有化的云端AI推理环境。通过引入多方供应商，国防部不仅能够利用各家在LLM微调与RAG架构上的技术优势，还能有效缓解此前因Anthropic模型使用条款限制而产生的战略被动。八卦分析：全球影响五角大楼此举释放了三个核心信号：首先，AI军备竞赛已进入“基础设施主权”阶段，国防部正在通过多元化供应商降低对单一AI初创公司的依赖，防止“关键技术卡脖子”；其次，这为云巨头在政府合同市场开辟了新的增长曲线，将AI部署从实验室推向了战术前沿；最后，这预示着未来AI模型的合规性标准将由军事需求主导，任何无法满足极端安全与数据本地化要求的模型提供商，都将被排除在这一万亿级市场之外。战略建议对于AI初创企业而言，单纯的技术领先已不足以获得政府订单，必须在“安全合规”与“部署灵活性”上构建护城河。建议相关厂商重点布局私有化部署方案（On-premise AI）及机密计算（Confidential Computing）技术，以适应未来国防科技采购向“去中心化、高安全性”转型的趋势。