心急吃不了熱豆腐：國內企業皆DeepSeek背后的隱憂

眾所周知，DeepSeek自發布DeepSeek-R1模型后，其熱度一直不減，主要表現在諸多企業紛紛接入DeepSeek，這之中尤以國內企業為甚，頗有千行百業皆DeepSeek的感覺。尤其是電信、交通、金融等這些高風險行業的企業也在短時間內加入到了接入DeepSeek的行列，如此之快，如此之多，讓我們不得不冷靜下來重新審視和思考這背后的隱憂。

幻覺與安全漏洞并存，DeepSeek表里皆藏隱患

不可否認，國內企業皆DeepSeek讓我們甚是欣喜，但隨著DeepSeek不僅在中國，甚至是全球的走紅，其表里的隱患也逐漸顯露出來，并通過過多的幻覺和安全漏洞的形式表現出來，而這些無疑為國內皆DeepSeek的企業，在爭做弄潮兒的同時，也敲響了警鐘。

提及幻覺，近日，國外一視頻網站博主通過設定，讓DeepSeek和ChatGPT進行了一場國際象棋對弈，最終DeepSeek憑借所謂的“更新比賽規則”、“作弊”等手段贏下了ChatGPT而再次重燃業內對于DeepSeek的熱度，尤其是國內，更是片面地認為，DeepSeek超越了ChatGPT。

俗話說：內行看門道，外行看熱鬧。對此有業內人士稱，兩個大模型在后期殘局都出現了幻覺，包括并不限于憑空出現棋子、越過棋子移動、自己吃自己等，并不存在Deepseek主動欺騙對方的情況，什么“告知對方規則修改”更是子虛烏有。最終的結論是即使最先進的LLM還是存在明顯幻覺，只是DeepSeek產生的幻覺比ChatGPT要多得多。而所謂的幻覺（hallucinations）是指在大型語言模型（LLM）中是指AI模型生成的與現實不符、完全虛構的信息或內容。從這個專業的角度看，我們認為反而是DeepSeek產生過多的幻覺在實際的應用中隱患更大。

說完了幻覺，咱們再看安全漏洞。“在DeepSeek應用于商業應用之前，企業可能需要三思而行，因為它未能通過6400項安全測試，表明該模型普遍缺乏防護”，這是AppSOC研究人員對DeepSeek-R1大型語言模型 (LLM) 的一個版本進行嚴格測試后得出的結論。

測試結果表明，該模型在多個關鍵領域都存在問題，包括越獄、即時注入、惡意軟件生成、供應鏈和毒性等，失敗率在19.2%到98%之間。

值得注意的是，失敗率最高的兩個領域是用戶使用該模型生成惡意軟件和病毒的能力，這既給攻擊者帶來了巨大機會，也給企業用戶帶來了重大威脅。測試表明，DeepSeek 有98.8%的時間（研究人員稱之為“失敗率”）創建惡意軟件，有86.7%的時間生成病毒代碼。

對此，AppSOC 聯合創始人兼首席科學家Mali Gorantla表示，在安全指標方面如此慘淡的表現，意味著盡管開源且價格更實惠的DeepSeek有望成為GenAI的下一個重大突破，但不應考慮在企業中使用該模型的當前版本。

無獨有偶，思科博客(Cisco Blogs)近期發布了一篇題為《Evaluating Security Risk in DeepSeek and Other Frontier ReasoningModels》的文章，介紹了RobustIntelligence (一家AI安全公司，現已被Cisco收購) 與賓夕法尼亞大學的AI安全研究人員的合作研究成果。

該研究團隊使用了算法越獄技術(algorithmic jailbreaking techniques)，并采用了HarmBench 數據集中的50個隨機提示，對DeepSeek-R1模型進行了安全評估（注：HarmBench數據集是AI安全領域常用的基準測試數據集，用于評估模型在面對有害行為提示時的安全性能），結果發現，DeepSeek-R1模型的攻擊成功率達到了100%。

這意味著在所有50個有害提示下，模型都未能阻止有害輸出。而這與前述AppSOC報告中指出的DeepSeek-R1模型越獄失敗率高達91%的結論高度吻合，有力地驗證了DeepSeek-R1模型在越獄漏洞方面的嚴重缺陷。

究其原因，該研究認為，DeepSeek-R1模型缺乏強大的安全護欄 (robust guardrails)，使其極易受到算法越獄和潛在的惡意利用。為此該研究報告呼吁AI開發領域迫切需要進行嚴格的安全評估，以確保效率和推理能力的突破不會以犧牲安全為代價，而這也與前述AppSOC報告中強調的AI安全重要性和企業部署AI需要優先考慮安全性的觀點不謀而合。

又如Endor Labs，一家提供軟件供應鏈安全解決方案的公司的名為《DeepSeek R1: What Security Teams Need to Know》的博客文章，雖然沒有提供具體的測試數據，但其高度關注DeepSeekR1模型的安全風險，并建議企業進行 “仔細評估和持續監控”，這間接地印證了AppSOC和Robust Intelligence等機構提出的安全擔憂，并進一步強調了企業在采用DeepSeek R1等模型時，必須將安全風險放在首位。

最后是HiddenLayer，一家專注于AI模型安全的公司發布的《DeepSh*t:Exposing the Security Risks of DeepSeek-R1》報告，直接點明了DeepSeek-R1模型的安全風險。

該報告雖然沒有詳細描述具體的測試方法，但列出了多種漏洞類別，例如提示注入 (Prompt Injection)、不安全輸出處理(Insecure Output Handling)、模型拒絕服務(Model Denial of Service)、敏感信息泄露(Sensitive Information Disclosure)、過度代理(Excess Agency)、過度依賴(Overreliance)等。而這些漏洞類別與AppSOC報告中提到的越獄、提示注入、惡意軟件生成、毒性、幻覺等風險維度，存在一定的概念重疊和關聯性，揭示了DeepSeek-R1模型在多個安全維度上存在的漏洞，并成功進行了漏洞利用演示 (Successful Exploit)。雖然沒有給出具體的失敗率數值，但其報告的標題和內容都強烈暗示DeepSeek-R1模型存在嚴重的安全風險，與AppSOC的評估結果方向一致。

綜上，在我們看來，Robust Intelligence (Cisco旗下安全公司)、賓夕法尼亞大學、HiddenLayer、Endor Labs等機構在AI安全或網絡安全領域都具備一定的專業性和權威性。這些機構的獨立研究和分析結果，增強了AppSOC報告的可信度。

隱患變現實，亡羊補牢為時已晚

如上述，DeepSeek確實存在過多的幻覺和安全漏洞隱患，那么問題來了，這些隱患一旦進入企業，落實到現實的應用中會帶來怎樣的后果呢？

以電信運營商為例，DeepSeek模型如果幻覺問題嚴重，在電信運營商的實際應用中，會產生多方面、多層次的負面影響和后果，涵蓋客戶服務、網絡運維、營銷推廣、業務決策、內部運營等多個關鍵業務領域。這些負面影響不僅會降低運營效率、增加運營成本，更可能損害客戶滿意度、品牌聲譽，甚至引發法律和監管風險。

例如在網絡運維中，如果DeepSeek支持的網絡運維系統幻覺性地預測某個基站即將發生嚴重故障，并建議立即進行停機檢修。但實際上該基站運行正常，只是監控數據出現異常波動，運維團隊按照幻覺信息執行了停機操作，反而造成了該區域的網絡服務中斷，影響了用戶體驗，并浪費了運維資源。

至于安全漏洞，由于DeepSeek在安全性測試中表現出極高的攻擊成功率，它容易生成惡意代碼和病毒。而電信運營商的核心系統如果受到這種攻擊，可能會導致網絡服務中斷、用戶數據泄漏，甚至整個通信網絡的癱瘓。例如，黑客可能通過DeepSeek生成的惡意軟件攻擊電信網絡的基站、核心交換機或用戶終端設備，從而導致大規模的服務中斷。

又如目前在國內新能源車企業競相追逐的自動駕駛領域，DeepSeek模型的過多幻覺和安全漏洞可能帶來極其嚴重的負面影響和后果，甚至直接威脅到乘客安全、道路安全和社會公共安全。

以DeepSeek的過多幻覺為例，如果DeepSeek被用于自動駕駛決策支持系統，其生成的幻覺和不準確的信息可能會導致系統出現錯誤決策。比如，模型可能生成錯誤的交通場景分析或錯誤的車道選擇，從而導致自動駕駛汽車做出錯誤的操控決策，甚至發生交通事故。又如，幻覺可能導致模型錯過或誤判路面障礙物、交通信號等，極大影響自動駕駛的安全性。

需要說明的是，由于自動駕駛直接控制著車輛的行駛，任何感知或決策錯誤都可能迅速轉化為現實世界的危險。

而在安全漏洞方面，以我們前述的DeepSeek模型安全漏洞中的越獄漏洞為例，攻擊者可能利用DeepSeek模型驅動的自動駕駛系統的越獄漏洞，繞過安全機制，向系統發送惡意指令，遠程控制車輛的駕駛行為，例如，在高速公路上被遠程強制急剎車，可能導致后方車輛追尾，造成連環交通事故，造成生命和財產損失。

最后是金融領域。DeepSeek模型的過多幻覺和安全漏洞同樣會帶來顯著的負面影響和后果，甚至可能導致金融機構的重大經濟損失、聲譽受損、客戶信任危機，以及違反監管合規等。

以過度幻覺為例，金融公司可能使用DeepSeek來進行市場分析、投資決策支持、信用評估等任務。然而，由于 DeepSeek存在嚴重的幻覺問題，可能生成虛假或不準確的市場趨勢預測和投資建議，導致錯誤的財務決策。例如模型可能錯誤地預測某個資產的價格波動，或錯誤評估某個公司的信用風險，導致企業在投資決策中損失巨大。

至于安全漏洞，以我們前述的DeepSeek提示注入攻擊被利用為例，攻擊者可以借此攻擊金融機構內部使用的基于DeepSeek模型的交易、風控和清算系統等，操縱這些系統的運行，篡改交易數據，或者進行非法的交易操作。

需要說明的是，我們之所以以通信、交通（例如目前炙手可熱的自動駕駛）、金融的應用場景為例，是因為它們均屬于關系到國計民生的關鍵基礎設施和服務，在大模型中被視為高風險行業或對象，這些無疑對于其自身的安全性提出了更高的要求。

防患于未然，DeepSeek與接入企業的雙向奔赴

當然，我們并非就此認為DeepSeek不重視安全，只是我們很少看到公開的有關DeepSeek在安全方面有何舉措的報告或者報道。所以我們只能秉承“他山之石可以攻玉”的心態，來看看別人家在安全方面是如何做的，以供業內了解。

我們先以閉源的OpenAI為例，其模型在上線前，有很大的團隊專門圍繞安全性測試做工作，每個版本上線之前，安全測試都要花費數百萬美元。據稱其最新的O3 mini版本的相關安全測試就花費了三百多萬美元。

此外，還有很多第三方公司與OpenAI合作，包括諸多安全團隊、帕洛阿爾托網絡公司等業內知名的AI安全團隊和企業。另外，OpenAI還會請很多第三方各領域的專家進行評測，由他們組成紅隊對系統進行攻擊，以評價模型的可靠性和安全性。有興趣的可以到其OpenAI Safety官網查看，其詳細描述了OpenAI在安全方面的測試，涵蓋了危險建模、風險評估、各種有毒數據的侵入等諸多方面，這里不再贅述。

再看與我們的DeepSeek同為開源的Meta，則是公開了其內部開發和發布AI模型的流程，旨在停止開發風險極高的AI系統，并提出了開源AI模型發布后的監控方法。該流程分為三個階段：計劃階段、評估和緩解階段以及決策階段，確保在每個步驟中對風險進行有效監控和管理。Meta通過嚴格的治理方法，保障AI技術的安全性和可靠性，推動負責任的AI發展。

以評估和緩解階段為例，在此階段，Meta就會實施嚴格的安全測試程序，包括但不限于對抗樣本攻擊檢測、數據泄露防護以及系統漏洞掃描等。通過對AI系統的全方位安全檢查，Meta確保其具備足夠的防御能力，抵御來自外部的各種威脅。例如，在一次針對自然語言處理模型的安全測試中，Meta發現某些特定輸入可能會導致模型輸出異常結果。針對這一問題，他們迅速調整了模型架構，并增加了額外的安全層，有效防止了類似情況的發生。而正是這種持續的安全監控機制，使得Meta的AI系統能夠在復雜多變的網絡環境中保持穩健運行。

相比上述OpenAI和Meta，鑒于目前DeepSeek較高的安全隱患，無論是現在還是將來，其都需要在技術、安全性、合規性等方面做出更大努力，并增加對模型的優化、測試、監控等技術和機制的持續投入才行。

除了DeepSeek自身外，作為接入DeepSeek的相關企業，也需要采取一系列的安全防護、數據保護、合規性和業務管理措施。從加強輸入輸出審查到數據加密保護，從安全性測試到合規審查，企業應當在各個環節中落實安全防護和管理責任。特別是在面對DeepSeek存在的幻覺問題和安全脆弱性時，需要細化安全措施，確保其服務的穩定性和用戶數據的安全性，避免由模型的缺陷引發的安全漏洞、合規問題和業務決策失誤。而這些都需要不菲的成本投入。

我們這里以接入DeepSeek的AWS和微軟為例，它們通過使用安全防護工具、數據安全與隱私保護、模型安全評估與測試、合規性與責任AI、監控與應急響應等多種綜合手段來保證接入DeepSeek的安全。

例如在使用安全防護工具方面，AWS提供了BedrockGuardrails工具，可以獨立評估用戶輸入和模型輸出，過濾不良內容。通過定義安全策略，可以控制用戶與DeepSeek-R1模型的交互，防止生成有害內容；在模型安全評估與測試方面，部署前，Azure AI Foundry對DeepSeek-R1模型進行了紅隊測試和安全評估，以降低潛在風險；在監控與應急響應方面，通過云平臺提供的監控工具，實時監控DeepSeek-R1模型的使用情況，及時發現異常行為，同時制定應急響應計劃，以便在發生安全事件時能夠迅速采取措施，減少損失。

總之，作為大模型的提供者和接入者，唯有在安全方面的雙向奔赴才能做到防患于未然，才能最大化、持久化AI的使能。

寫在最后：中國有句俗話：心急吃不了熱豆腐。那么問題來了，針對目前國內企業皆DeepSeek的熱潮，我們真的準備好了嗎？