输入<think>能偷看别人聊天记录？DeepSeek这个「漏洞」被严重误读了

据动察 Beating 监测，近日社交平台上流传一则消息，称在 DeepSeek 对话框输入 等特殊标记，就能看到其他用户的历史对话，并将其定性为 P0 级多租户隔离失效。这一说法迅速引发恐慌，不少人开始担心自己的聊天记录被陌生人看到。 实际情况与多租户隔离无关。输入 或 <|begin_of_sentence|> 这类特殊标记后，模型会被骗进训练时的格式模式，随后基于自身记忆和当前系统提示词（包含当天日期）生成一段看起来像真实对话的内容。这些内容是模型自己编出来的，不是从别的用户会话里实时调取的。 这种现象在学术界叫训练数据记忆提取（Training Data Extraction），是所有大模型的共性问题，不是 DeepSeek 独有的。Google DeepMind 早在 2023 年就发表过专门研究，证明用特殊输入可以从 GPT、PaLM 等主流模型中套出训练数据。ICLR 2025 收录的 Magpie 论文更是直接把这个机制当工具用，给对齐后的模型喂模板 token 就能批量刷出训练数据。 有人用「泄露内容包含今天日期」来反驳，认为训练数据不可能是今天的。但 DeepSeek 每个会话的系统提示词里都写着当天日期，模型生成的内容自然会包含这个日期，这不能证明内容来自另一个真实用户。要证明是多租户隔离问题，需要确认泄露的信息确实属于某个真实存在的其他用户，目前没有任何证据支持这一点。

「查看原文」