心急吃不了熱豆腐：國內(nèi)企業(yè)皆DeepSeek背后的隱憂

眾所周知，DeepSeek自發(fā)布DeepSeek-R1模型后，其熱度一直不減，主要表現(xiàn)在諸多企業(yè)紛紛接入DeepSeek，這之中尤以國內(nèi)企業(yè)為甚，頗有千行百業(yè)皆DeepSeek的感覺。尤其是電信、交通、金融等這些高風(fēng)險(xiǎn)行業(yè)的企業(yè)也在短時(shí)間內(nèi)加入到了接入DeepSeek的行列，如此之快，如此之多，讓我們不得不冷靜下來重新審視和思考這背后的隱憂。

幻覺與安全漏洞并存，DeepSeek表里皆藏隱患

不可否認(rèn)，國內(nèi)企業(yè)皆DeepSeek讓我們甚是欣喜，但隨著DeepSeek不僅在中國，甚至是全球的走紅，其表里的隱患也逐漸顯露出來，并通過過多的幻覺和安全漏洞的形式表現(xiàn)出來，而這些無疑為國內(nèi)皆DeepSeek的企業(yè)，在爭做弄潮兒的同時(shí)，也敲響了警鐘。

提及幻覺，近日，國外一視頻網(wǎng)站博主通過設(shè)定，讓DeepSeek和ChatGPT進(jìn)行了一場國際象棋對弈，最終DeepSeek憑借所謂的“更新比賽規(guī)則”、“作弊”等手段贏下了ChatGPT而再次重燃業(yè)內(nèi)對于DeepSeek的熱度，尤其是國內(nèi)，更是片面地認(rèn)為，DeepSeek超越了ChatGPT。

俗話說：內(nèi)行看門道，外行看熱鬧。對此有業(yè)內(nèi)人士稱，兩個(gè)大模型在后期殘局都出現(xiàn)了幻覺，包括并不限于憑空出現(xiàn)棋子、越過棋子移動、自己吃自己等，并不存在Deepseek主動欺騙對方的情況，什么“告知對方規(guī)則修改”更是子虛烏有。最終的結(jié)論是即使最先進(jìn)的LLM還是存在明顯幻覺，只是DeepSeek產(chǎn)生的幻覺比ChatGPT要多得多。而所謂的幻覺（hallucinations）是指在大型語言模型（LLM）中是指AI模型生成的與現(xiàn)實(shí)不符、完全虛構(gòu)的信息或內(nèi)容。從這個(gè)專業(yè)的角度看，我們認(rèn)為反而是DeepSeek產(chǎn)生過多的幻覺在實(shí)際的應(yīng)用中隱患更大。

說完了幻覺，咱們再看安全漏洞。“在DeepSeek應(yīng)用于商業(yè)應(yīng)用之前，企業(yè)可能需要三思而行，因?yàn)樗茨芡ㄟ^6400項(xiàng)安全測試，表明該模型普遍缺乏防護(hù)”，這是AppSOC研究人員對DeepSeek-R1大型語言模型 (LLM) 的一個(gè)版本進(jìn)行嚴(yán)格測試后得出的結(jié)論。

測試結(jié)果表明，該模型在多個(gè)關(guān)鍵領(lǐng)域都存在問題，包括越獄、即時(shí)注入、惡意軟件生成、供應(yīng)鏈和毒性等，失敗率在19.2%到98%之間。

值得注意的是，失敗率最高的兩個(gè)領(lǐng)域是用戶使用該模型生成惡意軟件和病毒的能力，這既給攻擊者帶來了巨大機(jī)會，也給企業(yè)用戶帶來了重大威脅。測試表明，DeepSeek 有98.8%的時(shí)間（研究人員稱之為“失敗率”）創(chuàng)建惡意軟件，有86.7%的時(shí)間生成病毒代碼。

對此，AppSOC 聯(lián)合創(chuàng)始人兼首席科學(xué)家Mali Gorantla表示，在安全指標(biāo)方面如此慘淡的表現(xiàn)，意味著盡管開源且價(jià)格更實(shí)惠的DeepSeek有望成為GenAI的下一個(gè)重大突破，但不應(yīng)考慮在企業(yè)中使用該模型的當(dāng)前版本。

無獨(dú)有偶，思科博客(Cisco Blogs)近期發(fā)布了一篇題為《Evaluating Security Risk in DeepSeek and Other Frontier ReasoningModels》的文章，介紹了RobustIntelligence (一家AI安全公司，現(xiàn)已被Cisco收購) 與賓夕法尼亞大學(xué)的AI安全研究人員的合作研究成果。

該研究團(tuán)隊(duì)使用了算法越獄技術(shù)(algorithmic jailbreaking techniques)，并采用了HarmBench 數(shù)據(jù)集中的50個(gè)隨機(jī)提示，對DeepSeek-R1模型進(jìn)行了安全評估（注：HarmBench數(shù)據(jù)集是AI安全領(lǐng)域常用的基準(zhǔn)測試數(shù)據(jù)集，用于評估模型在面對有害行為提示時(shí)的安全性能），結(jié)果發(fā)現(xiàn)，DeepSeek-R1模型的攻擊成功率達(dá)到了100%。

這意味著在所有50個(gè)有害提示下，模型都未能阻止有害輸出。而這與前述AppSOC報(bào)告中指出的DeepSeek-R1模型越獄失敗率高達(dá)91%的結(jié)論高度吻合，有力地驗(yàn)證了DeepSeek-R1模型在越獄漏洞方面的嚴(yán)重缺陷。

究其原因，該研究認(rèn)為，DeepSeek-R1模型缺乏強(qiáng)大的安全護(hù)欄 (robust guardrails)，使其極易受到算法越獄和潛在的惡意利用。為此該研究報(bào)告呼吁AI開發(fā)領(lǐng)域迫切需要進(jìn)行嚴(yán)格的安全評估，以確保效率和推理能力的突破不會以犧牲安全為代價(jià)，而這也與前述AppSOC報(bào)告中強(qiáng)調(diào)的AI安全重要性和企業(yè)部署AI需要優(yōu)先考慮安全性的觀點(diǎn)不謀而合。

又如Endor Labs，一家提供軟件供應(yīng)鏈安全解決方案的公司的名為《DeepSeek R1: What Security Teams Need to Know》的博客文章，雖然沒有提供具體的測試數(shù)據(jù)，但其高度關(guān)注DeepSeekR1模型的安全風(fēng)險(xiǎn)，并建議企業(yè)進(jìn)行 “仔細(xì)評估和持續(xù)監(jiān)控”，這間接地印證了AppSOC和Robust Intelligence等機(jī)構(gòu)提出的安全擔(dān)憂，并進(jìn)一步強(qiáng)調(diào)了企業(yè)在采用DeepSeek R1等模型時(shí)，必須將安全風(fēng)險(xiǎn)放在首位。

最后是HiddenLayer，一家專注于AI模型安全的公司發(fā)布的《DeepSh*t:Exposing the Security Risks of DeepSeek-R1》報(bào)告，直接點(diǎn)明了DeepSeek-R1模型的安全風(fēng)險(xiǎn)。

該報(bào)告雖然沒有詳細(xì)描述具體的測試方法，但列出了多種漏洞類別，例如提示注入 (Prompt Injection)、不安全輸出處理(Insecure Output Handling)、模型拒絕服務(wù)(Model Denial of Service)、敏感信息泄露(Sensitive Information Disclosure)、過度代理(Excess Agency)、過度依賴(Overreliance)等。而這些漏洞類別與AppSOC報(bào)告中提到的越獄、提示注入、惡意軟件生成、毒性、幻覺等風(fēng)險(xiǎn)維度，存在一定的概念重疊和關(guān)聯(lián)性，揭示了DeepSeek-R1模型在多個(gè)安全維度上存在的漏洞，并成功進(jìn)行了漏洞利用演示 (Successful Exploit)。雖然沒有給出具體的失敗率數(shù)值，但其報(bào)告的標(biāo)題和內(nèi)容都強(qiáng)烈暗示DeepSeek-R1模型存在嚴(yán)重的安全風(fēng)險(xiǎn)，與AppSOC的評估結(jié)果方向一致。

綜上，在我們看來，Robust Intelligence (Cisco旗下安全公司)、賓夕法尼亞大學(xué)、HiddenLayer、Endor Labs等機(jī)構(gòu)在AI安全或網(wǎng)絡(luò)安全領(lǐng)域都具備一定的專業(yè)性和權(quán)威性。這些機(jī)構(gòu)的獨(dú)立研究和分析結(jié)果，增強(qiáng)了AppSOC報(bào)告的可信度。

隱患變現(xiàn)實(shí)，亡羊補(bǔ)牢為時(shí)已晚

如上述，DeepSeek確實(shí)存在過多的幻覺和安全漏洞隱患，那么問題來了，這些隱患一旦進(jìn)入企業(yè)，落實(shí)到現(xiàn)實(shí)的應(yīng)用中會帶來怎樣的后果呢？

以電信運(yùn)營商為例，DeepSeek模型如果幻覺問題嚴(yán)重，在電信運(yùn)營商的實(shí)際應(yīng)用中，會產(chǎn)生多方面、多層次的負(fù)面影響和后果，涵蓋客戶服務(wù)、網(wǎng)絡(luò)運(yùn)維、營銷推廣、業(yè)務(wù)決策、內(nèi)部運(yùn)營等多個(gè)關(guān)鍵業(yè)務(wù)領(lǐng)域。這些負(fù)面影響不僅會降低運(yùn)營效率、增加運(yùn)營成本，更可能損害客戶滿意度、品牌聲譽(yù)，甚至引發(fā)法律和監(jiān)管風(fēng)險(xiǎn)。

例如在網(wǎng)絡(luò)運(yùn)維中，如果DeepSeek支持的網(wǎng)絡(luò)運(yùn)維系統(tǒng)幻覺性地預(yù)測某個(gè)基站即將發(fā)生嚴(yán)重故障，并建議立即進(jìn)行停機(jī)檢修。但實(shí)際上該基站運(yùn)行正常，只是監(jiān)控?cái)?shù)據(jù)出現(xiàn)異常波動，運(yùn)維團(tuán)隊(duì)按照幻覺信息執(zhí)行了停機(jī)操作，反而造成了該區(qū)域的網(wǎng)絡(luò)服務(wù)中斷，影響了用戶體驗(yàn)，并浪費(fèi)了運(yùn)維資源。

至于安全漏洞，由于DeepSeek在安全性測試中表現(xiàn)出極高的攻擊成功率，它容易生成惡意代碼和病毒。而電信運(yùn)營商的核心系統(tǒng)如果受到這種攻擊，可能會導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷、用戶數(shù)據(jù)泄漏，甚至整個(gè)通信網(wǎng)絡(luò)的癱瘓。例如，黑客可能通過DeepSeek生成的惡意軟件攻擊電信網(wǎng)絡(luò)的基站、核心交換機(jī)或用戶終端設(shè)備，從而導(dǎo)致大規(guī)模的服務(wù)中斷。

又如目前在國內(nèi)新能源車企業(yè)競相追逐的自動駕駛領(lǐng)域，DeepSeek模型的過多幻覺和安全漏洞可能帶來極其嚴(yán)重的負(fù)面影響和后果，甚至直接威脅到乘客安全、道路安全和社會公共安全。

以DeepSeek的過多幻覺為例，如果DeepSeek被用于自動駕駛決策支持系統(tǒng)，其生成的幻覺和不準(zhǔn)確的信息可能會導(dǎo)致系統(tǒng)出現(xiàn)錯(cuò)誤決策。比如，模型可能生成錯(cuò)誤的交通場景分析或錯(cuò)誤的車道選擇，從而導(dǎo)致自動駕駛汽車做出錯(cuò)誤的操控決策，甚至發(fā)生交通事故。又如，幻覺可能導(dǎo)致模型錯(cuò)過或誤判路面障礙物、交通信號等，極大影響自動駕駛的安全性。

需要說明的是，由于自動駕駛直接控制著車輛的行駛，任何感知或決策錯(cuò)誤都可能迅速轉(zhuǎn)化為現(xiàn)實(shí)世界的危險(xiǎn)。

而在安全漏洞方面，以我們前述的DeepSeek模型安全漏洞中的越獄漏洞為例，攻擊者可能利用DeepSeek模型驅(qū)動的自動駕駛系統(tǒng)的越獄漏洞，繞過安全機(jī)制，向系統(tǒng)發(fā)送惡意指令，遠(yuǎn)程控制車輛的駕駛行為，例如，在高速公路上被遠(yuǎn)程強(qiáng)制急剎車，可能導(dǎo)致后方車輛追尾，造成連環(huán)交通事故，造成生命和財(cái)產(chǎn)損失。

最后是金融領(lǐng)域。DeepSeek模型的過多幻覺和安全漏洞同樣會帶來顯著的負(fù)面影響和后果，甚至可能導(dǎo)致金融機(jī)構(gòu)的重大經(jīng)濟(jì)損失、聲譽(yù)受損、客戶信任危機(jī)，以及違反監(jiān)管合規(guī)等。

以過度幻覺為例，金融公司可能使用DeepSeek來進(jìn)行市場分析、投資決策支持、信用評估等任務(wù)。然而，由于 DeepSeek存在嚴(yán)重的幻覺問題，可能生成虛假或不準(zhǔn)確的市場趨勢預(yù)測和投資建議，導(dǎo)致錯(cuò)誤的財(cái)務(wù)決策。例如模型可能錯(cuò)誤地預(yù)測某個(gè)資產(chǎn)的價(jià)格波動，或錯(cuò)誤評估某個(gè)公司的信用風(fēng)險(xiǎn)，導(dǎo)致企業(yè)在投資決策中損失巨大。

至于安全漏洞，以我們前述的DeepSeek提示注入攻擊被利用為例，攻擊者可以借此攻擊金融機(jī)構(gòu)內(nèi)部使用的基于DeepSeek模型的交易、風(fēng)控和清算系統(tǒng)等，操縱這些系統(tǒng)的運(yùn)行，篡改交易數(shù)據(jù)，或者進(jìn)行非法的交易操作。

需要說明的是，我們之所以以通信、交通（例如目前炙手可熱的自動駕駛）、金融的應(yīng)用場景為例，是因?yàn)樗鼈兙鶎儆陉P(guān)系到國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施和服務(wù)，在大模型中被視為高風(fēng)險(xiǎn)行業(yè)或?qū)ο螅@些無疑對于其自身的安全性提出了更高的要求。

防患于未然，DeepSeek與接入企業(yè)的雙向奔赴

當(dāng)然，我們并非就此認(rèn)為DeepSeek不重視安全，只是我們很少看到公開的有關(guān)DeepSeek在安全方面有何舉措的報(bào)告或者報(bào)道。所以我們只能秉承“他山之石可以攻玉”的心態(tài)，來看看別人家在安全方面是如何做的，以供業(yè)內(nèi)了解。

我們先以閉源的OpenAI為例，其模型在上線前，有很大的團(tuán)隊(duì)專門圍繞安全性測試做工作，每個(gè)版本上線之前，安全測試都要花費(fèi)數(shù)百萬美元。據(jù)稱其最新的O3 mini版本的相關(guān)安全測試就花費(fèi)了三百多萬美元。

此外，還有很多第三方公司與OpenAI合作，包括諸多安全團(tuán)隊(duì)、帕洛阿爾托網(wǎng)絡(luò)公司等業(yè)內(nèi)知名的AI安全團(tuán)隊(duì)和企業(yè)。另外，OpenAI還會請很多第三方各領(lǐng)域的專家進(jìn)行評測，由他們組成紅隊(duì)對系統(tǒng)進(jìn)行攻擊，以評價(jià)模型的可靠性和安全性。有興趣的可以到其OpenAI Safety官網(wǎng)查看，其詳細(xì)描述了OpenAI在安全方面的測試，涵蓋了危險(xiǎn)建模、風(fēng)險(xiǎn)評估、各種有毒數(shù)據(jù)的侵入等諸多方面，這里不再贅述。

再看與我們的DeepSeek同為開源的Meta，則是公開了其內(nèi)部開發(fā)和發(fā)布AI模型的流程，旨在停止開發(fā)風(fēng)險(xiǎn)極高的AI系統(tǒng)，并提出了開源AI模型發(fā)布后的監(jiān)控方法。該流程分為三個(gè)階段：計(jì)劃階段、評估和緩解階段以及決策階段，確保在每個(gè)步驟中對風(fēng)險(xiǎn)進(jìn)行有效監(jiān)控和管理。Meta通過嚴(yán)格的治理方法，保障AI技術(shù)的安全性和可靠性，推動負(fù)責(zé)任的AI發(fā)展。

以評估和緩解階段為例，在此階段，Meta就會實(shí)施嚴(yán)格的安全測試程序，包括但不限于對抗樣本攻擊檢測、數(shù)據(jù)泄露防護(hù)以及系統(tǒng)漏洞掃描等。通過對AI系統(tǒng)的全方位安全檢查，Meta確保其具備足夠的防御能力，抵御來自外部的各種威脅。例如，在一次針對自然語言處理模型的安全測試中，Meta發(fā)現(xiàn)某些特定輸入可能會導(dǎo)致模型輸出異常結(jié)果。針對這一問題，他們迅速調(diào)整了模型架構(gòu)，并增加了額外的安全層，有效防止了類似情況的發(fā)生。而正是這種持續(xù)的安全監(jiān)控機(jī)制，使得Meta的AI系統(tǒng)能夠在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中保持穩(wěn)健運(yùn)行。

相比上述OpenAI和Meta，鑒于目前DeepSeek較高的安全隱患，無論是現(xiàn)在還是將來，其都需要在技術(shù)、安全性、合規(guī)性等方面做出更大努力，并增加對模型的優(yōu)化、測試、監(jiān)控等技術(shù)和機(jī)制的持續(xù)投入才行。

除了DeepSeek自身外，作為接入DeepSeek的相關(guān)企業(yè)，也需要采取一系列的安全防護(hù)、數(shù)據(jù)保護(hù)、合規(guī)性和業(yè)務(wù)管理措施。從加強(qiáng)輸入輸出審查到數(shù)據(jù)加密保護(hù)，從安全性測試到合規(guī)審查，企業(yè)應(yīng)當(dāng)在各個(gè)環(huán)節(jié)中落實(shí)安全防護(hù)和管理責(zé)任。特別是在面對DeepSeek存在的幻覺問題和安全脆弱性時(shí)，需要細(xì)化安全措施，確保其服務(wù)的穩(wěn)定性和用戶數(shù)據(jù)的安全性，避免由模型的缺陷引發(fā)的安全漏洞、合規(guī)問題和業(yè)務(wù)決策失誤。而這些都需要不菲的成本投入。

我們這里以接入DeepSeek的AWS和微軟為例，它們通過使用安全防護(hù)工具、數(shù)據(jù)安全與隱私保護(hù)、模型安全評估與測試、合規(guī)性與責(zé)任AI、監(jiān)控與應(yīng)急響應(yīng)等多種綜合手段來保證接入DeepSeek的安全。

例如在使用安全防護(hù)工具方面，AWS提供了BedrockGuardrails工具，可以獨(dú)立評估用戶輸入和模型輸出，過濾不良內(nèi)容。通過定義安全策略，可以控制用戶與DeepSeek-R1模型的交互，防止生成有害內(nèi)容；在模型安全評估與測試方面，部署前，Azure AI Foundry對DeepSeek-R1模型進(jìn)行了紅隊(duì)測試和安全評估，以降低潛在風(fēng)險(xiǎn)；在監(jiān)控與應(yīng)急響應(yīng)方面，通過云平臺提供的監(jiān)控工具，實(shí)時(shí)監(jiān)控DeepSeek-R1模型的使用情況，及時(shí)發(fā)現(xiàn)異常行為，同時(shí)制定應(yīng)急響應(yīng)計(jì)劃，以便在發(fā)生安全事件時(shí)能夠迅速采取措施，減少損失。

總之，作為大模型的提供者和接入者，唯有在安全方面的雙向奔赴才能做到防患于未然，才能最大化、持久化AI的使能。

寫在最后：中國有句俗話：心急吃不了熱豆腐。那么問題來了，針對目前國內(nèi)企業(yè)皆DeepSeek的熱潮，我們真的準(zhǔn)備好了嗎？