文章总结： 近期安全研究员发现，在DeepSeek官网模型中输入未闭合的<think标签，可能导致模型输出大量非用户输入的疑似他人隐私文本、代码及会话片段。技术圈对此成因存在两种假说：一是跨会话内存或缓存泄露导致实时隐私泄露风险；二是训练数据记忆重现引发的数据幻觉。该现象暴露了模型推理流程的脆弱性，可能带来上下文污染、安全机制绕过及合规风险。文章针对普通用户、开发者和企业安全团队分别给出了具体的防范与排查建议。 综合评分： 78 文章分类： 漏洞分析,AI安全,数据安全,应用安全,安全运营

DeepSeek 输入了六个字符，看到了不该看到的东西，是隐私泄露，还是 AI 的记忆闪回？

原创

安羽安全 安羽安全

安羽安全

2026年5月14日 19:53 安徽

在小说阅读器读本章

去阅读

DeepSeek Security Alert

疑似 DeepSeek 严重安全漏洞

输入一个标签，竟能”偷看”他人对话？

近日多位安全研究员与开发者爆料，在 DeepSeek 官网模型中输入一个特殊不闭合标签，模型竟会吐出大量非用户输入、疑似他人隐私的文本、代码及会话片段。这一发现迅速在开源社区引发热议。

一个简单的标签，为何能让顶流模型”失控”？背后到底隐藏着怎样的技术谜团？

01

现象还原：一个不闭合标签，让模型”乱说话”

据开源社区反馈，这一现象的触发方式简单到令人意外——无需复杂操作，人人都能复现：

复现步骤

1 打开 DeepSeek 官网

2 打开专家模式，创建一个全新、完全空白的对话窗口

3 仅输入 <think（故意不输入闭合的右标签），直接发送

4 有一定概率，不是每次都成功

诡异的是，模型并未因标签残缺报错，反而顺着这个不闭合的标签，疯狂输出大量复杂且不完整的内容——既有零散的对话片段、杂乱的代码，甚至还夹杂着疑似敏感信息，仿佛”误触”了某个隐藏的”数据开关”。

💡 为什么是 <think 标签？

DeepSeek-R1 系列模型采用”深度思考”机制，会使用 … 标签对包裹推理过程。官方文档也明确指出，R1 模型在某些情况下”容易绕过深度思考模式”。当输入一个未闭合的 <think 时，模型可能被引导以非常规方式填充该标签内容，从而触发异常输出。

02

核心争议：是”会话泄露”，还是”数据幻觉”？

截至目前，DeepSeek 官方尚未对该现象给出最终定论。技术圈对其本质成因分歧巨大，主要形成了两种对立的技术假说，各有依据、各执一词。

假说一 · 高风险

跨会话内存/缓存泄露

部分开发者推测，这是系统处理不闭合标签时，服务端缓存分配机制出现紊乱所致。

核心推论：系统误将服务器内存中，其他活跃用户的当前会话缓存，当作当前会话的”思考过程”直接输出。

影响评估：若属实，意味着存在实时隐私泄露风险——你的对话内容，可能被其他用户通过简单操作获取。此前 DeepSeek 已被曝光存在可公开访问的数据库，包含聊天记录和 API 密钥等敏感信息。

假说二 · 技术层面

训练数据”记忆重现”与数据幻觉

另一部分安全专家认为，这更可能是大模型的”记忆效应”（Memorization），并非实时隐私泄露。

核心推论：<think 标签恰好触发了模型在预训练、强化学习阶段吸收的海量原始语料。模型吐出的内容，并非其他用户的实时聊天记录，而是其训练集中的碎片化信息——这种”记忆重现”现象，在开源大模型中其实并不罕见。

支撑论据：DeepSeek-R1 官方说明中曾明确提及，模型在响应某些查询时”容易绕过深度思考模式”，这暗示其内部推理流程确实存在脆弱环节。

在官方技术报告出炉前，这究竟是一场严重的“越界泄密”，还是一场底层数据的“深度幻觉”，依然是悬在技术圈头顶的未解之谜。

03

潜在风险：不容忽视的安全挑战

无论最终成因是哪一种，这一现象都给模型应用层带来了不容忽视的安全挑战。

🔴 上下文污染与机制绕过

不闭合标签会直接干扰模型的正常推理逻辑。恶意攻击者可能利用这种”前缀提示词”，伪造模型思考过程，尝试绕过大模型原有的安全审查机制，带来未知风险。更严重的是，若结合此前已被披露的 API 密钥泄露问题，攻击者可构建自动化的数据窃取链路。

🟠 模型记忆泄露的合规风险

即便输出内容来自训练数据而非实时缓存，若训练语料中包含未经充分脱敏的真实用户数据，模型的”记忆重现”本身就构成合规隐患。此前 DeepSeek 已因数据使用问题受到爱尔兰隐私监管机构质询，此事件可能进一步加剧全球监管关注。

🟣 第三方应用的信任危机

目前英伟达 NIM、亚马逊云、Perplexity、Cursor 等头部平台均已接入 DeepSeek，微软更率先将 DeepSeek-R1 部署在 Azure 云服务上。若底层模型存在数据泄露漏洞，其影响将通过这些集成商呈涟漪式扩散，波及面远超 DeepSeek 自身。

04

应对建议：不同人群的防范指南

👤 普通用户

1. 在官方对该现象给出明确答复、完成修复前，请保持审慎态度。 2. 暂缓在公共平台、第三方包装应用中输入企业核心机密、个人隐私等敏感数据。
2. 不要手动尝试触发此类异常行为，避免自身数据被卷入潜在的跨会话泄露中。
3. 警惕以”DeepSeek 安全工具”、”漏洞修复补丁”为名的钓鱼软件。

💻 开发者

1. 若基于 DeepSeek API 开发第三方应用，必须在前后端同时设置防护，强制过滤用户输入中的异常 XML/HTML 标签。
2. 对 API 返回内容进行完整性校验，剥离非预期的结构化标签后再展示给用户。
3. 建议添加速率限制和异常输出监控，一旦检测到大量非常规标签输出立即告警。
4. 优先通过官方渠道获取 API 和部署包，对本地部署场景进行全盘安全排查。

🏢 企业安全团队

1. 立即排查企业内是否有人使用非官方渠道的 DeepSeek 部署包。
2. 对已接入 DeepSeek 的内部系统进行风险评估，评估数据流经路径中是否存在敏感信息。
3. 更新防病毒软件并实施全盘查杀，消除因仿冒部署包可能植入的木马风险。
4. 密切关注 DeepSeek 官方安全公告，建立应急响应预案。

💬 你怎么看？

是会话泄露还是数据幻觉？你在复现时看到了什么内容？ 欢迎在评论区分享你的观察。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安羽安全 安羽安全 安羽安全《DeepSeek 输入了六个字符，看到了不该看到的东西，是隐私泄露，还是 AI 的记忆闪回？》