据【动察 Beating】(https://t.me/OneMillion_AI)监测,近日社交平台上流传一则消息:有人声称,只要在 DeepSeek 对话框输入特定“特殊标记”(如一段引导性文本),就能查看其他用户的历史对话,并将其定性为 **P0 级多租户隔离失效**。消息一出迅速引发关注,部分用户担心自己的聊天记录会被陌生人“看到”。
—
## 真实情况:与多租户隔离无关
上述说法并不能成立。
当用户在输入中添加 **`<...>`** 或 **`<|begin_of_sentence|>`** 等特殊格式标记时,模型会被“带入”训练阶段曾反复出现的格式模式。随后,模型会基于:
– 自身已学到的内容(包括训练中形成的模式)
– 当前会话的系统提示词(其中包含**当天日期**等信息)
生成一段**看起来像真实对话**的文字。
需要强调的是:
这些内容并非模型从其他用户会话中实时调取,而是模型根据提示与既有记忆**编写出来的**。
—
## 学术上如何解释?
这种现象在学术界通常被称为 **训练数据记忆提取(Training Data Extraction)**,属于大模型普遍存在的问题,并非 DeepSeek 独有。
早在 **2023 年**,Google DeepMind 就发布过相关研究,证明通过特殊输入可以从 GPT、PaLM 等主流模型中“套取”训练数据线索。
此外,**ICLR 2025** 收录的 **Magpie** 论文更是将该机制直接当作工具:通过向对齐后的模型喂入模板 token,可以**批量刷出训练数据相关内容**。
—
## “包含今天日期”能证明泄露吗?
有人进一步用“泄露内容包含今天日期”来反驳,认为训练数据不可能是“今天”的,因此推断是跨租户内容泄露。
但这并不能证明结论成立。
原因在于:**DeepSeek 每个会话的系统提示词里都写着当天日期**。因此,模型在生成内容时自然会把这个日期带进去。
这只能说明“模型在按系统提示词生成”,而不能证明“内容来自某个真实存在的其他用户会话”。
要认定为多租户隔离失效,必须确认:所谓“泄露”的信息确实属于某个**真实其他用户**。截至目前,没有任何可靠证据支持这一点。
—
**结论**:当前流传的信息属于误解或过度推断。该现象更符合训练数据记忆提取的机制解释,而非多租户隔离被击穿。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/180742/
