德国全面封杀DeepSeek，中欧数据冲突升级

近日，德国柏林数据保护专员正式要求苹果与谷歌公司将DeepSeek从二者的应用商店中下架，理由是DeepSeek涉嫌严重违反《欧盟通用数据保护条例》（GDPR），并可能导致德国公民个人信息被非法转移至中国。

德国全面下架DeepSeek被看作是欧盟AI监管落地的“第一枪”，其重大影响远不只是一个欧盟国家对一款中国AI产品的监管，更折射出在AI技术迅猛发展的当下，欧洲与中国在数据主权、隐私保护、技术竞争等多重维度上的深层次博弈。

GDPR“长臂管辖”DeepSeek

GDPR自2018年生效以来，就以其对全球企业的“域外效力”著称。只要企业收集、处理欧盟境内公民的个人数据，就必须遵守GDPR的高标准要求。DeepSeek虽然在中国杭州注册，没有在欧盟设立分支机构，但其AI聊天机器人应用通过Google Play和苹果App Store向德国用户提供服务，并带有德语界面。这些行为足以让DeepSeek直接受GDPR约束。

然而，柏林数据保护专员Meike Kamp在声明中指出：DeepSeek不仅没有采取符合法规的数据传输保障措施（如欧盟标准合同条款SCC），而且将数据直接传输至中国境内服务器。而在中方立法环境下，中国《网络安全法》《数据安全法》等均赋予政府广泛的数据调取权，这与GDPR对数据隐私和安全的严苛要求形成鲜明冲突。

数字服务法（DSA）成为新武器，欧盟AI监管再加码

尽管柏林专员曾于今年5月6日要求DeepSeek主动撤下应用，但遭到拒绝。柏林方面遂援引2024年11月正式生效的《数字服务法》（DSA）第16条，首次对AI应用发起“非法内容通报”程序。这一机制允许监管机构直接要求数字平台（即苹果与谷歌）删除涉嫌违法的数字服务内容。

柏林并未单独行动。报道显示，德国其他州级数据监管机构（如巴登-符腾堡、莱茵兰-普法尔茨、不来梅）及德联邦网络局都已加入协调，全面封杀DeepSeek。这种跨州协作体现出德国乃至欧盟层面对非欧盟背景AI产品进行强监管的决心。

中欧数据冲突升级：AI加剧敏感度

此次风波发生的关键背景，是DeepSeek在2025年1月发布的第三代大模型，让其迅速在国际AI社区蹿红。据BleepingComputer报道，该App在Google Play的下载量已超5000万次，在苹果商店中也获得数千条用户评价。然而，今年以来，DeepSeek屡次曝出数据安全隐患，包括用户聊天内容疑似被用于大模型再训练，以及未经充分告知的跨境数据传输。

AI模型对数据的高度依赖使得数据合规的敏感性倍增。欧盟委员会副主席Věra Jourová在今年欧中数据合作讨论中直言：“人工智能加剧了欧洲对数据流向中国的忧虑，因为它涉及的不仅是隐私问题，更关乎商业机密和国家安全。”

欧盟AI监管第一枪，苹果谷歌进退两难

此案中苹果和谷歌的态度将具有标志性意义。一方面，DSA要求平台对接到的“非法内容”报告进行审查并采取行动，否则平台自身也可能面临巨额罚款；另一方面，中国市场对两大巨头同样重要，一旦对DeepSeek封禁，可能引发中方反制甚至波及其在华业务。

更值得注意的是，这次事件或成为欧盟AI监管“落地”的一次试水。虽然《欧盟人工智能法案》（AI Act）尚未完全执行，但德国利用GDPR+DSA的“双保险”模式，已率先对AI产品实施了强硬措施，这对海外AI厂商无疑释放出震慑信号。

AI时代的数据主权与技术冷战

DeepSeek事件，正是欧中在AI时代数据主权争夺的一个缩影。欧洲凭借GDPR、DSA等一系列全球最严格的隐私与内容监管框架，意在捍卫对本地数据的控制权；中国则通过本土AI公司的技术扩张和对跨境数据管理的立法，使数据安全上升到国家安全层面。

在AI技术驱动下，数据不再是简单的资源，而是算法训练的“燃料”、国家竞争的“战略资产”。德国封杀DeepSeek的举动表明，在技术冷战逐步升温的背景下，数据跨境流动已成为全球政治博弈的前沿。

结语

DeepSeek事件或许只是中欧数据与AI合规矛盾的开始。对于任何想在欧盟市场提供AI服务的非欧盟公司而言，如何在“算法创新”与“合规保障”之间找到平衡，将决定其能否在这个数据主权至上的市场中立足。未来，欧盟会否将这种监管模式推广到更多AI工具，值得全球AI企业高度关注。

Nessus严重漏洞允许覆盖任意本地系统文件

Tenable最新发布的安全公告披露了Nessus漏洞扫描器中存在的严重漏洞，攻击者可能通过权限提升攻击危害Windows系统。

这些安全漏洞影响10.8.5之前的所有Nessus版本，包括一个关键的Windows特定漏洞(CVE-2025-36630)以及第三方组件libxml2和libxslt中的两个额外漏洞。

Part01

漏洞概要

1、CVE-2025-36630

CVSSv3评分：8.4，影响Nessus 10.8.4及更早版本，允许提升至SYSTEM权限)

2、CVE-2025-6021

CVSSv3评分：6.5，影响Nessus 10.8.4及更早版本，Nessus底层XML处理功能使用的libxml2第三方组件漏洞

3、CVE-2025-24855

CVSSv3评分：7.8，影响Nessus 10.8.4及更早版本，Nessus XSLT转换操作使用的libxslt第三方组件漏洞

这些漏洞的CVSS评分介于6.5至8.4之间，对依赖Nessus进行安全评估的组织构成重大威胁。

Part02

Windows权限提升漏洞

最严重的漏洞编号为CVE-2025-36630，影响10.8.4 及之前版本的Windows系统Nessus安装。该高危漏洞使非管理员用户能够利用日志内容以SYSTEM权限覆盖任意本地系统文件，实质上允许权限提升攻击。该漏洞CVSSv3基础评分为8.4，属于高严重性级别，具有重大潜在影响。

该漏洞的攻击向量被描述为需要本地访问且复杂度低(AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H)，表明攻击者需要低级别权限但无需用户交互即可利用该漏洞。影响范围标记为"已更改"，意味着该漏洞可能影响超出其原始安全上下文的资源。安全研究员Rishad Sheikh于2025年5月10日向Tenable报告了该关键漏洞。

Part03

第三方组件更新

除Windows特定漏洞外，Tenable还修复了为Nessus平台提供核心功能的底层第三方软件组件中的安全缺陷。该公司已将libxml2升级至2.13.8版本，libxslt升级至1.1.43版本，以修复已识别的漏洞CVE-2025-6021和CVE-2025-24855。

CVE-2025-24855的基础评分为7.8，需要本地访问且攻击复杂度高，但无需用户权限(AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:H)。

CVE-2025-6021的CVSSv3基础评分为6.5，攻击向量需要网络访问和低权限凭据(AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)。值得注意的是，针对CVE-2025-6021的修复已专门反向移植到Nessus 10.8.5中的libxml2 2.13.8版本实现中。

Part04