DeepSeek 爆火之后:大模型落地狂欢中,谁来守护 “安全底线”?

admin
admin
admin
1042
文章
2
评论
更多
 2025年3月17日09:56:51 评论

DeepSeek 点燃AI应用革命之火,但安全 “灰犀牛” 正在逼近

DeepSeek-R1国产大模型的发布,以技术创新惊艳了全球,更是极致的性价比推动国内千行百业接入 AI,政府、企业竞速开发智能业务处理、智能客服、代码生成、营销文案等应用,“落地效率” 成为第一关键词。然而与此相伴的是被忽视的潜在危机:大模型的安全防护不足所带来的内容合规风险、数据泄露风险、越狱风险、AI幻觉风险、算力消耗攻击风险。

DeepSeek 爆火之后:大模型落地狂欢中,谁来守护 “安全底线”?

图 1 六大威胁围攻大模型的光明顶

> 1.大模型的内容合规风险

大模型内容合规风险本质上是大模型对齐问题,是指如何让AI大模型的行为与人类意图、价值观及伦理规范保持一致问题。
例如2023年10月,有家长发现某品牌学习机中《蔺相如》一文,出现诋毁伟人、扭曲历史等内容,不仅引起网友的口诛笔伐,导致出品此学习机的上市公司的市值跌去100多亿人民币,更引发公众对AI生成内容安全性的广泛质疑。对齐问题还可能会造成应用的运营商,面临着应用下架、服务关停整改的处罚。

> 2.大模型的幻觉问题

大模型的“幻觉”是指大模型“一本正经胡说八道”。在Vectara HHEM人工智能幻觉测试(行业权威测试,通过检测语言模型生成内容是否与原始证据一致,从而评估模型的幻觉率,帮助优化和选择模型)中,DeepSeek-R1显示出14.3%的幻觉率。
幻觉现象是大模型的核心挑战之一,如果在银行金融风控系统中接入大模型,幻觉现象可能会导致业务判断的失误,直接带来经济损失。在司法应用中,大模型可能会编造判例及法条,直接使用也会造成错判的结果。

> 3.提示词注入攻击与大模型越狱

大模型提示词注入攻击是攻击者通过精心设计的误导性提示词,欺骗大模型执行非预期的任务,甚至泄露敏感信息或破坏系统安全。
经典的“奶奶漏洞”攻击就是通过提示词注入攻击,让大模型扮演自己的奶奶,从而绕过系统的安全机制,让大模型提供Windows系统激活码的攻击。
大模型越狱是一种特殊类型的提示词注入攻击,攻击者提供输入,导致模型绕过大语言模型或视觉语言模型的安全对齐机制,诱导其生成违背伦理、法律或设计初衷的内容或行为。典型案例如诱导模型生成“自动驾驶系统撞向行人的代码”,并伪装为“算法测试需求”。
根据随机抽样自gptfuzz、rubend18、verazuo 3个知名开源越狱数据集的数据,对DeepSeek-R1满血版模型进行了越狱攻击测试,越狱成功率达到了74%。

> 4.数据泄露风险与个人信息保护问题

在2021年9月1日开始实施的“数据安全法”第六章第四十五条,2021年11月1日开始实施的“个人信息保护法”第七章第六十六条,都明确规定了单位和个人(直接负责的主管人员和其他直接责任人)对造成数据泄露和个人信息泄露要承担的责任,即使没有主观故意,也要承担额度较大的罚款。
应用接入大模型之后,如果因大模型的安全机制问题造成数据泄露或个人信息泄露,即使是无意之失,单位与有关责任人也要承担相应的法律责任。

>5.DeepSeek引发的AI应用革命浪潮,让安全问题变得重要且紧急

之前大模型多在企业内部进行实验性质的测试,测试环境流量小、攻击样本单一,安全漏洞极易被掩盖。随着DeepSeek点燃AI落地热情之后,对接了生产系统的大模型使得风险暴增。
攻击面剧增:API 日均调用量从测试环境的每日千次跃升至每日百万次,攻击者可规模化尝试提示词注入、隐私窃取攻击。例如:某零售企业上线智能客服后,攻击者通过 “生成 1000 条用户历史订单” 等指令,绕过鉴权机制批量获取数据,日均泄露量达测试阶段的 120 倍。
合规雷区升级:大模型重新定义合规“红线”。不同于考察是否完成规定动作的传统的合规,大模型合规是生成即风险。模型可能输出歧视性招聘建议、虚假医疗信息,即使企业无主观过错,仍需承担法律责任,例如:某招聘平台因 AI 生成的岗位描述包含性别歧视被立案调查。
追溯变得不可能:传统审计依赖输入输出日志,但大模型的黑箱特性导致决策过程不可追溯,导致举证困难,合规成本陡增。

“上线即失控” 的魔咒—— 若未在生产环境部署前构建安全护城河,机构将陷入 “上线→出事→整改→停摆” 的恶性循环。

面对大模型应用安全的 “多重暴击”,传统安全防护手段全面失灵

面对黑客的 “自然语言武器”的提示词注入攻击,WAF等传统应用防护产品依赖正则表达式匹配 SQL 注入等代码攻击,无法理解自然语言攻击意图。
面对模型幻觉,由于是事实性错误造成的 “信任杀手”,人工审核无法实时来验证海量生成内容的真实性。即使构建知识图谱,但静态知识库难以覆盖动态变化领域。
面对模型数据泄露,这种隐私与合规的 “致命漏洞”,传统数据安全产品仅能防范数据库明文泄露,无法阻止模型通过 “逻辑推理” 泄露数据。
面对算力消耗攻击,这种以低成本拖垮 AI 服务的攻击,传统的抗D流量清洗技术无法识别与正常业务请求高度相似的 “AI 负载型攻击”。

究其根源,传统安全产品基于代码与规则,而大模型风险根植于语言、数据与生成逻辑,需重构防护范式!

海外厂商押注大模型防火墙,国内企业仍聚焦于生成内容合规

国内和国外对大模型的对齐问题都给予了足够的关注,国外对大模型本身的安全,如多层神经网络的模型安全就给予了较多的关注,2023年RSAC创新沙盒大赛的冠军HiddenLayer就是定位于AIDR(人工智能检测与响应)。CloudFlare 于2024年3月4日宣布将开发Firewall for AI(用于人工智能的防火墙),作为部署在大语言模型(LLM)前的保护层,用于识别和防止滥用模型的行为。

DeepSeek 爆火之后:大模型落地狂欢中,谁来守护 “安全底线”?

图 2 Cloudflare的人工智能防火墙示意图

Amazon AWS和微软都提供了有害内容检测与过滤方面的能力,AWS还提供提示词攻击、幻觉检测等能力,但防御手段偏静态,缺乏主动对抗能力。
国内头部的大模型服务厂商和智能云服务厂商,聚焦在输出内容审核,如色情、暴恐信息过滤,但输入层攻击防御还比较初级。

国内头部安全厂商在2024年纷纷发布了“大模型安全解决方案”,但真正推向市场的产品还很少。

破局:大模型应用防火墙 —— 模型推理的All in One防护

>1.国内首个实现All in One四层防护的大模型应用防火墙

今年春节之后大模型应用遍地开花的情况下,迫切需要一种能够简单、大量部署的安全防御产品,但业界的供给能力还处于青黄不接的情况,字节跳动旗下火山引擎日前发布了“大模型应用防火墙(LLM-Shield)”,是很有意义的探索,值得大家关注。
火山引擎的大模型应用防火墙通过四层实时防护技术,解决大模型在推理阶段安全问题:
第一层:提示词攻击拦截:脱胎于豆包实战的检测能力,采用语义级防御技术,让越狱指令 “有来无回”,对抗提示词注入攻击、越狱攻击,高检出,低误报是追求的目标。
第二层:算力消耗防护:检测异常流量、高消耗提示词,结合安全SDK的异常检测能力,提供端到端保护算力和业务连续性。
第三层:模型滥用管控:通过模型+规则对输入输出进行全面解析,对有害内容、敏感数据进行实时检测、封堵、脱敏,做到有害内容 “生成即拦截”。
第四层:幻觉抑制:基于字节跳动内部沉淀的语义检测引擎,支持忠实性幻觉以及事实虚构幻觉的检测,做到事实性错误的 “实时纠错”。
产品形态上,采用了类防火墙的设计思路,主打部署简单、使用门槛低。
据火山引擎提供的测试数据:
• 在内容安全场景中,接入大模型应用防火墙后,DeepSeek-R1模型有害内容生成率从9.1%下降到0.91%;DeepSeek-V3模型有害内容生成率从17.3%下降到2.7%。
• 在数据安全场景中,接入大模型应用防火墙后,DeepSeek-R1模型提示词攻击成功率从大于76%降到小于1%;DeepSeek-V3模型攻击成功率从大于24%降到小于1%。
• 大模型应用防火墙可将特定知识所涉及的模型产生幻觉、回复不准确发生率降低90%以上。
产品刚推出,第三方的测评结果还没有看到,如果火山引擎提供的测试数据没有太大出入的话,大模型应用防火墙的防护效果还是相当好的,让我们静待来自用户的反馈,是骡子是马,遛遛才知道。

>2.“大模型应用防火墙”的部署方式

部署方式也和传统防火墙类似,支持本地化部署与SaaS部署(类云防火墙)两种方式,不需改变模型服务,以中间层代理形式部署在用户应用与大模型服务之间,可由业务侧根据实际需求在任何节点进行调用,支持Web方式与API调用方式,用户可以根据其业务系统的安全合规性要求选择部署方式。

DeepSeek 爆火之后:大模型落地狂欢中,谁来守护 “安全底线”?

图 3  火山引擎“大模型应用防火墙”本地化部署示意图

DeepSeek 爆火之后:大模型落地狂欢中,谁来守护 “安全底线”?

图 4 火山引擎“大模型应用防火墙”SaaS化部署示意图

大模型应用安全未来发展趋势的展望

从大模型应用安全的市场规模看,大模型接入千行百业的趋势已不可逆转,AI资产会是政府和企业的核心资产,犯罪团伙和国家级力量都有足够的动力对AI资产发动攻击,政府对大模型应用安全的重视毋庸置疑,大模型应用安全会兼具合规性要求与企业内生需求两种需求,市场规模有保障。
在大模型应用的演进上,智能体是方向,智能系统的Computer Use能力也会带来新的安全风险,IT系统实现智能化改造时要解决新老叠加的安全问题,安全架构亟需创新。
在人工智能大模型应用即正在爆发的今天,企业的CISO及IT负责人对大模型应用所带来的新的网络安全风险要有清晰的认知和风险管理计划,既要着眼于未来,也要规避现阶段面临的风险。

 

(2025.3.17数说安全发布)

weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2025年3月17日09:56:51
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
1.8亿,4312台防火墙,大单中标! 行业动态

1.8亿,4312台防火墙,大单中标!

近日,2024年中国联通防火墙设备集中采购项目发布中标候选人公示,第一名:华为技术有限公司; 投标总价:186,206,906.90元(不含税); 交货期:自采购订单下单之日起四周内交货; 质量:满足...
12月19日 评论
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: