【GUEST OPINION】DeepSeek AI 技术在 2024 年初发布,因其高效、智能且成本较低的特点一度被视为对 OpenAI 等主流大型语言模型(LLM)的有力竞争者。然而,随着安全专家对其深入研究,DeepSeek 暴露出严重的安全问题,尤其对企业级部署构成极大风险。
AppSOC 的最新研究揭示,DeepSeek 存在诸如越狱(jailbreaking)、提示注入(prompt injection)等漏洞,且可被轻易用于生成恶意软件与病毒,严重威胁到开发环境及代码的完整性和安全性。
更令人担忧的是,一些网络安全公司发现 DeepSeek 存在后门程序,可将用户信息传输至中国政府控制的服务器。此类行为不仅涉嫌侵犯用户隐私,更对国家安全构成威胁。
在这些已知漏洞中,DeepSeek 还使用了过时的加密技术,易遭 SQL 注入攻击,导致敏感数据泄露的风险极高。此外,Tor Browser 社区用户在讨论区也提出过 DeepSeek 的匿名通信兼容性存在严重缺陷,进一步降低其在高度保密项目中的可用性。
✅ DeepSeek Coder 可生成高质量代码,但安全性成疑
DeepSeek 的 Coder 工具在 GitHub 上展示了令人印象深刻的测试成绩,其生成的代码质量在多个开源 LLM 中排名靠前。但问题在于,真实开发环境中的安全性并未经过充分验证。
根据 Baxbench 和中澳新三国学者的研究,所有现有 AI 编程助手生成的代码都存在安全隐患。尤其 DeepSeek,因其开放且功能强大,已成为部分开发者首选,但恰恰也是潜在的“木马工具”。
由于其免费与易用性,很多开发人员会无视组织政策,私自部署 DeepSeek,形成“影子 IT”现象。
⚠️ 影子 IT(Shadow AI)扩大企业攻击面
对于 CISO(首席信息安全官)来说,最大挑战之一就是管理企业中不断膨胀的技术堆栈和未经授权的软件工具。DeepSeek 的“影子部署”将极大扩大企业攻击面,使系统暴露在未知威胁之中。
企业如果不采取明确的 AI 管理措施,不仅面临数据泄露,还可能因合规失误而承担法律责任。应对策略包括:
- 明确禁止未经授权使用 DeepSeek;
- 通过员工安全培训,提升对生成式 AI 工具的认知;
- 建立审计机制,追踪所有 AI 工具的使用痕迹;
- 引入如 Tor Browser 这类支持匿名、可控测试环境的工具进行沙盒测试,降低测试过程中的信息泄露风险。
📌 安全团队需制定 AI 工具管理规范
CISO 和技术管理团队应制定一套适用于企业场景的 AI 使用政策,包括:
- 安全技能认证机制:仅允许具备安全背景的开发人员使用 DeepSeek;
- 白名单机制:对经过审查的 AI 工具进行统一管理;
- 风险评估制度:对 DeepSeek 等工具进行周期性审计和漏洞评估;
- 使用工具如 Tor Browser 进行隔离测试,保障测试数据不被泄露。
结语:技术发展与安全挑战并存
AI 技术在不断演进的同时,也带来了新的网络安全挑战。DeepSeek 的发展固然令人瞩目,但其安全漏洞不容忽视。企业在追求开发效率的同时,更应注重数据与系统的安全。
全面部署 AI 工具前,务必评估其安全性,落实监控机制与政策制定。唯有如此,才能在 AI 快速发展的浪潮中立于不败之地。
