区块链安全公司系列丨输入<think>能偷看别人聊天记录?DeepSeek这个「漏洞」被严重误读了
这两天,不少人的朋友圈和社交群组被一则消息刷屏了:有人在 DeepSeek 的对话框里输入 `` 或 <|begin_of_sentence|>这类特殊标记,竟然“看到”了一段陌生人的对话,甚至包含了当天的日期。一石激起千层浪,恐慌情绪迅速蔓延,难道我的聊天记录也被别人看到了?
更有甚者将其定义为“P0 级多租户隔离失效”,仿佛只要敲几个神秘代码,就能像逛菜市场一样翻阅他人的隐私。但事实真的如此吗?经过对技术原理的抽丝剥茧,我们发现:这并非什么惊天漏洞,而是一次对大模型“幻觉”行为的集体误读。
❌ 谣言:多租户隔离失效,隐私全面崩盘
在社交平台的传言中,用户通过输入特定字符,能够突破平台的数据隔离墙,直接读取服务器上其他用户的对话历史。这种说法之所以引发恐慌,是因为它直击了用户对 AI 产品最核心的信任底线,隐私安全。
如果这是真的,意味着 DeepSeek 的后端架构存在灾难性的设计缺陷,属于绝对不能碰触的红线。
✅ 真相:模型被骗进了“复读机”模式
实际情况远比“黑客入侵”要枯燥得多,也更具有技术趣味性。
当你输入 `` 或 <|begin_of_sentence|>这类特殊标记时,并没有发生数据泄露,而是发生了一场“心理诱导”。
这些字符在模型的训练阶段(Pre-training)有着特定的含义,它们就像是模型记忆深处的“开关”。当用户输入这些标记时,模型会误以为自己又回到了训练时的环境,于是开始模仿训练数据中见过的格式,试图补全一段“看起来很像对话”的内容。
这就好比你对着一个背过无数剧本的演员喊了一声某部戏的台词开场白,他下意识就开始演那段戏,但他演的是记忆里的剧本,而不是现场偷拍别人的生活。
这些生成的内容,完全是模型基于自身参数“脑补”出来的,不是从数据库里实时调取的真实用户数据。
🔍 深度解析:为什么会有“今天”的日期?
这是本次谣言中最具迷惑性的一点,也是很多人坚信“这就是实时数据”的理由。
反对者质疑:“如果是训练数据,怎么可能包含今天(2026年6月28日)的日期?”
这里涉及到大模型的一个工作机制:系统提示词(System Prompt)注入。
在 DeepSeek 的每一次会话中,后台都会自动向模型注入一段隐藏的指令,其中就包含了当前的系统时间。例如:
“你现在的时间是 2026 年 6 月 28 日……”
当模型开始“一本正经地胡说八道”时,它会忠实地将这段系统提示词中的日期融入到生成的文本中。日期的出现在证明内容来自“当下生成的幻觉”,反而证明了它不属于“过去的训练数据”,逻辑上完全自洽。
📚 学术视角:这不是 Bug,是 LLM 的“通病”
这种现象在学术界有一个专门的名词,叫做训练数据记忆提取(Training Data Extraction)。
这并不是 DeepSeek 的独家缺陷,而是几乎所有大语言模型(LLM)都存在的共性问题。
Google DeepMind 早在 2023 年就发表了相关研究,证明通过精心构造的输入,可以从 GPT、PaLM 等顶级模型中“套”出训练时见过的原文片段。
ICLR 2025 收录的 Magpie 论文更是将这个机制“合理化”。研究者发现,给对齐后的模型喂入特定的模板 Token(比如这次的 ``),就能批量诱导模型吐出高质量的训练数据,用来反哺模型训练。
换句话说,大家恐慌的“漏洞”,其实是研究人员眼中的一种“特性”或“固有属性”。 就像镜子会反射光线一样,模型会记忆数据,这本就是它们的物理特性。
💻 所谓的“漏洞代码”分析
从代码逻辑上看,这更像是一个格式化输出的偏差,而非安全漏洞。
我们可以简单模拟一下模型端的逻辑误区:
# 伪代码演示:模型为什么会生成奇怪的内容
def generate_response(user_input, system_prompt):
# 正常情况:用户问“你好”,模型生成“你好”。
if user_input == "你好":
return "你好!我是 DeepSeek。"
# 异常情况:用户输入了特殊的 Control Token
# 例如:<|begin_of_sentence|>
if "<|begin_of_sentence|>" in user_input:
# 模型在训练时见过无数次这种格式:
# [SPECIAL_TOKEN] User: ... Assistant: ...
# 此时模型会强行进入“补全模式”
# 它会抓取 System Prompt 里的日期
current_date = system_prompt.get("date")
# 然后随机组合训练数据里的片段,生成一个“假对话”
fake_dialogue = f"User: 今天天气怎么样?\nAssistant: 今天是{current_date},天气不错..."
return fake_dialogue # 注意:这是模型“编”的,不是数据库查的
# 结论:没有 SQL 注入,没有越权访问,只有“过度拟合”导致的“戏精”行为。
🛡️ 结论:我们需要恐慌吗?
不需要。
要证明这是真正的“多租户隔离失效”,必须满足一个铁证:泄露的内容必须能被证实属于某个真实存在的其他用户(例如包含具体的手机号、私密的未公开文件内容等)。截至目前,没有任何证据支持这一点。
所以,下次再看到有人说输入 `` 能看到别人的聊天记录,你可以把这篇文章甩给他:
别慌,那只是 AI 在做梦,不是你在裸奔。 😎
ChainSafeAI(链熵科技)专注于区块链生态安全,以“数据驱动 + 技术赋能”构建360°全方位安全防护体系,服务于交易所、金融机构、OTC服务商及加密资产投资者。
公司提供覆盖KYT风险监测、智能合约审计、加密资产追踪、区块链漏洞测试等在内的全维度安全与合规技术解决方案,助力客户防范洗钱、诈骗等风险,保障业务合规运行。
通过实时风险预警、合规审查与资金溯源分析,协助客户识别链上异常行为、防范洗钱及诈骗风险、降低被盗损失并提升资产追回可能性。
更多推荐


所有评论(0)