從數(shù)據(jù)安全(文件數(shù)據(jù)銷毀）視角看DeepSeek被多國封堵

2024年末，全球各國，如美國、英國、法國、德國、意大利、日本、韓國等十余個國家以安全、技術(shù)等緣由，采取緊急措施，包括禁止下載使用DeepSeek模型，限制員工訪問DeepSeek的應(yīng)用程序工具等，對DeepSeek進(jìn)行圍堵。典型如從美國國會、五角大樓、NASA到海軍，都考慮或已開始禁止使用DeepSeek，德克薩斯州則成為美國第一個禁止在政府設(shè)備上使用DeepSeek的州。近日，美國國會更是提出新法案規(guī)定下載DeepSeek將構(gòu)成犯罪，最高可判處20年監(jiān)禁。

這一事件背后，折射出各國對大模型數(shù)據(jù)安全風(fēng)險的深刻擔(dān)憂。隨著人工智能技術(shù)的快速發(fā)展，大模型已不僅是工具，更逐漸演變?yōu)閿?shù)字空間的“第四類主體”，其雙重角色——既是數(shù)據(jù)的處理者，又可能成為數(shù)據(jù)的侵害者——正在挑戰(zhàn)數(shù)據(jù)空間中數(shù)據(jù)安全邊界。

01

物理世界的三個主體

如上圖所示，在數(shù)字空間中，數(shù)據(jù)安全目標(biāo)是對物理世界中三大主體在數(shù)據(jù)空間的映射進(jìn)行權(quán)益的各類保護(hù)：

1.個人主體：隱私安全、財產(chǎn)安全、聲譽(yù)安全等權(quán)益需防止被非法獲取或濫用。例如，用戶社交數(shù)據(jù)若被大模型關(guān)聯(lián)分析，可能推斷出敏感行為模式。

2.企業(yè)主體：企業(yè)的商業(yè)機(jī)密（如知識產(chǎn)權(quán)、各類配方、經(jīng)營狀況等）、財產(chǎn)安全、聲譽(yù)安全、企業(yè)固定資產(chǎn)安全、無形資產(chǎn)（如品牌價值）安全、上下游供應(yīng)鏈安全。

3.國家主體：領(lǐng)土安全、資源安全、公民安全、財富安全、經(jīng)濟(jì)運(yùn)行、社會公共利益、科學(xué)技術(shù)等等均依賴數(shù)據(jù)主權(quán)。

這些權(quán)益在物理世界中已有成熟保護(hù)機(jī)制，但在數(shù)字空間中，因數(shù)據(jù)的高流動性、可復(fù)制性，傳統(tǒng)防護(hù)手段面臨失效的危機(jī)。雪上加霜的是，隨著一個隱藏的主體，大模型慢慢走入公眾的視角，使得原有通過法律、法規(guī)、各類數(shù)據(jù)安全技術(shù)構(gòu)成的數(shù)據(jù)安全邊界又一次被沖擊。

02

大模型作為第四類主體：雙重角色的潛在威脅

隨著大模型的進(jìn)化，其已超越工具屬性，成為數(shù)字空間中具備“半自主性”的新主體。這種特殊性體現(xiàn)在兩方面：

1. 獨(dú)立性與依賴性并存：大模型的訓(xùn)練依賴個人、企業(yè)、國家的數(shù)據(jù)，但其生成的決策或內(nèi)容可能脫離原始數(shù)據(jù)主體的控制。

2. 雙向侵害風(fēng)險：

• 直接侵害：大模型在訓(xùn)練中可能直接使用敏感數(shù)據(jù)（如隱私文本、機(jī)密文檔），導(dǎo)致顯性泄露。這個已經(jīng)被業(yè)界熟知且已經(jīng)有相應(yīng)的各類管控手段；
• 間接侵害：通過強(qiáng)大的推理能力，從非敏感數(shù)據(jù)中提煉出敏感信息。原來業(yè)界對于大模型的推理能力是存疑的，但是隨著o1和DeepSeek的爆發(fā)，大模型的推理能力再一次超出人們的認(rèn)知，那么通過推理能力衍生的風(fēng)險被無窮放大。模型越大、推理能力越強(qiáng)，對多源數(shù)據(jù)的關(guān)聯(lián)分析能力越強(qiáng)，越可能通過“數(shù)據(jù)拼圖”揭示原本分散存儲的機(jī)密信息。
• 03

數(shù)據(jù)蒸餾與采樣學(xué)習(xí)：監(jiān)管缺失下的“暗流”

大模型間的數(shù)據(jù)交互進(jìn)一步放大了風(fēng)險。當(dāng)前，模型通過數(shù)據(jù)蒸餾（將大模型知識遷移至小模型）和采樣學(xué)習(xí)（從其他模型輸出中提取信息）實現(xiàn)能力提升，但這些過程缺乏有效監(jiān)管：

• 隱式數(shù)據(jù)泄露：假設(shè)A模型通過醫(yī)療數(shù)據(jù)訓(xùn)練出診斷能力，B模型通過采樣A的輸出，可能間接獲取患者隱私特征。
• 責(zé)任邊界模糊：當(dāng)多個模型共同參與數(shù)據(jù)流轉(zhuǎn)時，難以追溯泄露源頭。例如，DeepSeek若從第三方模型中獲取語料，其生成內(nèi)容可能包含未被授權(quán)的企業(yè)數(shù)據(jù)，但責(zé)任劃分將陷入僵局。
• 輸出管控的脆弱性：當(dāng)前大模型的安全設(shè)計普遍存在“重輸入、輕輸出”的傾向，即優(yōu)先通過數(shù)據(jù)脫敏、訪問控制等手段限制訓(xùn)練數(shù)據(jù)的輸入，卻對模型生成內(nèi)容的動態(tài)監(jiān)控不足。這種失衡導(dǎo)致惡意用戶可通過提示詞工程（Prompt Engineering）繞過防護(hù)機(jī)制，逐步誘導(dǎo)模型輸出敏感信息，比如通過分步試探、語義偽裝：跨模型協(xié)同等方式來獲取各類敏感數(shù)據(jù)。
• 04

國際封堵行動的深層邏輯：防御未知風(fēng)險

多國對DeepSeek的封堵并非單純的技術(shù)競爭，而是基于數(shù)據(jù)安全的前瞻性防御：

1. 防御推理泄露：DeepSeek的強(qiáng)推理能力可能從公開數(shù)據(jù)中挖掘出各類信息，如國家基礎(chǔ)設(shè)施的薄弱點，被惡意組織用于定向攻擊。

2. 阻斷數(shù)據(jù)聚合：限制大模型的數(shù)據(jù)輸入渠道，可防止其通過海量數(shù)據(jù)積累形成“數(shù)據(jù)霸權(quán)”。例如，禁止企業(yè)員工使用DeepSeek工具，能減少商業(yè)數(shù)據(jù)流入模型。

這些行動的本質(zhì)，是對大模型“第四類主體”地位的承認(rèn)，以及對其潛在失控風(fēng)險的提前干預(yù)。我們往前看，2024年12月27日，美國司法部發(fā)布禁止敏感個人數(shù)據(jù)向部分國家跨境傳輸?shù)淖罱K規(guī)則，這一制度的誕生，打破了美國長期秉持的“數(shù)據(jù)跨境自由流動”傳統(tǒng)，此規(guī)則將對中美數(shù)據(jù)交流乃至全球數(shù)據(jù)格局產(chǎn)生重大深遠(yuǎn)影響，打壓Deepseek本質(zhì)上就是該規(guī)則另一種體現(xiàn)方式，通過對大模型這類主體的限制使用，對中美數(shù)據(jù)脫鉤進(jìn)一步的管控而已。

綜上，唯有將大模型納入數(shù)據(jù)安全的全局框架，才能平衡技術(shù)創(chuàng)新與風(fēng)險管控，避免數(shù)字空間的“灰犀牛”演變?yōu)楝F(xiàn)實危機(jī)。