AI一体机的裸奔是怎么个故事？

背景

很多人看到标题会以为笔者用标题来抓眼球，因为AI这么高大上的技术怎么会裸奔呢？其实AI一体机的“裸奔”不是新鲜故事，连大名鼎鼎的Deepseek也中招过。如下消息来自澎湃新闻。文章指出：“据《IT时报》记者了解，电信安全经过长时间监测也发现，九成AI一体机处于“裸奔”状态。”

那么问题来了，AI团队中没有专家吗？AI行业作为目前所有行业平均薪资最高的，你相信没有专家吗？既然有为啥会出现这种情况呢？

其实，AI团队专家一大把，但是专家是有领域的，AI专家可能不了解数据库，安全专家可能不了解开发测试过程。然而，澎湃新闻只提出了裸奔情况，但是没有详细指出裸奔的产生原因和相关博弈。今天，就和大家聊聊这个问题，先告诉大家答案，AI的这次裸奔本身和AI技术没有关系，而是由于ClickHouse数据库的不当使用造成的。

适合研发的数据库安全防护

ClickHouse是一种非常适合云端使用，大数据检索超快的数据库。咱们直接说重点，ClickHouse在安装完成之后，会默认就自带一个非常适合云端的客户端工具。只要你有浏览器，就能通过输入这样的地址打开这个ClickHouse自带工具：http://192.168.122.63:8123/play。只要知道密码，就可以管理这个ClickHouse数据库了，如下图所示：

ClickHouse这种方式从使用上说的确非常友好，在内网开发测试过程中，安全隐患也不是那么突出，所以大家都一直这么用。不幸的是，AI是一种和互联网高度融合的应用，ClickHouse的这种方式一旦放在互联网上，立马惹祸了。

安全专家看到这里笑了：“多大点事情，不就是内网和外网的安全访问问题吗？给你们研发搞个VPN，包你们没问题。”

研发听了后，心里这个一万头草泥马奔驰而过：“你知道我们研发过程中测试数据量有多大吗？我一个测试就能把整个公司的VPN带宽占满，其他研发人员还用不用？”

研发团队：“产品上线高于一切！”

安全专家：“胡说，安全高于一切！”

我估计经过一系列博弈后，大概率研发团队落败，因为博弈完全不对等。安全上不出问题安全专家就完胜，具体业务和安全部门没有关系；而研发不行，性能功能上的调优和各种创新都等着他们实现啊。

作为一名老研发人员，将心比心，类似情况我建议安全专家能够考虑研发人员工作的特殊性，给他们一些额外的工具和设备。在这里，我推荐使用DBCS屠龙刀+SSH隧道。给研发人员多开几条单独的SSH隧道，不但管理起来简单，而且隧道是独享的，研发过程中性能测试相对好把控。下面我就以DBCS管理ClickHouse为例子，通过SSH隧道消除之前管理ClickHouse的安全隐患。

启动DBCS后，创建一个ClickHouse数据库资源，在连接地址中输入内网IP地址（从互联上上不可能直接访问到这个IP），如下图所示：

然后在SSH页签中输入SSH服务器的地址、端口、用户名和密码。

接下来，就可以管理ClickHouse数据库了，如下图所示：

注意：使用SSH隧道必须知道用户名和密码，用户名和密码不对，就不可能访问到内网的IP资源。如果用户名和密码还不够安全，可以使用SSH密钥。因此从技术上说SSH隧道方式不但非常安全，而且性能远远高于公用的VPN模式。

关于SSH隧道的更多信息请参考：“很多人不知道SSH本身就是便宜、便捷、安全的防火墙”。

写到最后

由于信息技术的飞速发展，安全越来越重要，因此现在只要把安全的帽子往上一扣，其他团队立刻就闭嘴了，而业务、效率等等其他方面就会被压制，其实对于整个企业发展不利。笔者并不是说安全不重要，相反笔者认为安全的确高于一切，但是安全不能教条，正如当VPN不适合某些团队的时候，能否使用SSH隧道？从技术上说SSH隧道应该比VPN还难以攻破，因为SSH服务器可比VPN服务器多太多了，经过的安全验证也自然多。

再举个例子，如果企业对于数据库的要求特别大，需要同时管控上千个数据库而且要防止敏感数据泄露的时候，XGuard其实是非常好的选择。

总之，有了安全的尚方宝剑后，安全专家应该多了解具体业务，保证业务畅通的同时也保证安全才是王道。

DESK倚天剑

• 全名：运维桌面工具套装软件
• 集办公、运维、开发场景常用功能于一体的桌面工具软件
• 管理操作系统、交换机、防火墙等设备的超级终端
• 图形化FTP/SFPT/SMB/WebDAV/S3上传下载文件的利器
• 文件管理（运行、编辑、压缩、搜索、复制、删除）的好帮手
• 批量处理图片/PDF的大师
• 信创系统下一键访问Windows/Linux桌面的途径
• 信创操作系统下办公、运维、开发人员的“倚天剑”

DBCS屠龙刀

• 全名：通用数据库管理桌面软件
• 强大、易用的数据库桌面端管理工具
• 支持管理20多种国内外主流数据库
• 支持运行于X86\ARM\龙芯\申威架构CPU
• 支持部署在信创、Windows、Linux、MAC操作系统
• 数据库运维、管理、开发人员或者学习者的“屠龙刀”

XGuard玄武之域

全名：全资源管控平台

继承DBCS和DESK运维功能于一体的Web平台版本，实现多人运维协作，并增加了管控和审计功能。平台不但能够补充替代传统堡垒机功能，而且克服了堡垒机“依赖客户端”、“审计粒度不够”、“不支持事中拦截”的三个安全性弊端。能够满足支持国内外20多种主流数据库、文件上传下载、操作系统远程接入等数据运维、开发需求的安全管控，并且可部署于信创环境，为政企单位提供一站式高安全数据管控解决方案。