伪装DeepSeek的恶意活动；DeepSeek开源模型风险分析；DeepSeek对网络安全的影响

资料列表：https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ

了解下载方式，公众号回复下载

| 伪装DeepSeek的恶意活动

引言

2025年初，人工智能领域最重要的事件之一是 DeepSeek-R1 的发布——这是一款拥有开放权重的高性能推理大语言模型（LLM）。它既支持本地使用，也提供免费服务。由于DeepSeek是第一个向广大受众提供推理大型语言模型的服务，它很快就受到了欢迎，与ChatGPT的成功如出一辙。当然，这种关注度的激增也吸引了网络罪犯的目光。

在分析我们的内部威胁情报数据时，我们发现有几组网站模仿DeepSeek聊天机器人的官方网站，并将恶意代码伪装成该流行服务的客户端进行分发。

官方DeepSeek网站截图（2025年2月）

方案/1

Python窃密程序和不存在的DeepSeek客户端

第一组网站的域名包含DeepSeek模型版本号（V3和R1）：

正如截图所示，假冒网站缺少开始聊天的选项——你只能下载一个应用程序。然而，真正的DeepSeek并没有官方的Windows客户端。

假冒网站截图

点击“获取DeepSeek应用程序”按钮会下载一个体积较小的压缩文件——deep-seek-installation.zip。该压缩文件包含DeepSeek Installation.lnk文件，其中包含一个URL。

在发布这项研究时，攻击者已经修改了托管在v3-deepseek[.]com域名上的假冒页面。它现在提示用户下载xAI开发的Grok模型的客户端。我们还在v3-grok[.]com域名上观察到类似的活动。伪装成客户端的是一个名为grok-ai-installation.zip的压缩文件，其中包含相同的快捷方式。

执行.lnk文件会运行快捷方式内URL指向的脚本：

这段脚本下载并解压一个名为f.zip的压缩文件。

解压后的压缩文件内容

接下来，脚本运行解压后的压缩文件中的1.bat文件。

BAT文件的内容

下载的压缩包中还包含svchost.exe和python.py文件。其中，第一个文件实际上是一个合法的python.exe文件，被重命名为模仿Windows进程的名称，旨在误导用户在任务管理器中检查正在运行的应用程序时产生混淆。

该文件用于启动python.py，其中包含恶意有效载荷（我们也曾见过该文件被命名为code.py）。这是一个用Python编写的窃密程序脚本，我们从未在之前的攻击中见过此类脚本。如果成功执行，攻击者将从受害者的计算机中获取大量数据：来自各种浏览器的cookie和会话令牌、电子邮件、游戏和其他账户的登录凭据、特定扩展名的文件、加密货币钱包信息等。

收集必要数据后，脚本会生成一个压缩文件，然后通过Telegram机器人将其发送给窃密程序的操作者，或者将其上传到Gofile文件共享服务。因此，尝试使用该聊天机器人可能会导致受害者丢失社交媒体访问权限、个人数据甚至加密货币。如果受感染设备上存储了公司凭据，整个组织也可能面临风险，从而导致更严重的后果。

方案/2

恶意脚本和百万浏览量

在另一个案例中，在以下域名上发现了伪造的 DeepSeek 网站：

我们在2月初发现了第一个域名，它托管着没有任何内容的默认Apache Web服务器页面。之后，该域名显示了一个与DeepSeek官网极为相似的新网页。值得注意的是，这个假冒网站使用了地理围栏技术：当请求来自某些IP地址（例如俄罗斯的IP地址）时，它会返回一个占位页面，其中填充了关于DeepSeek的通用SEO文本（我们认为这些文本可能是由LLM生成的）：

如果IP地址和其他请求参数满足指定条件，服务器将返回一个类似DeepSeek的页面。用户会被提示下载客户端或启动聊天机器人，但这两个操作都会导致下载使用Inno Setup创建的恶意安装程序。卡巴斯基产品将其检测为Trojan-Downloader.Win32.TookPS.*。

执行此安装程序后，它会联系恶意URL以接收一个命令，该命令将通过cmd执行。最常见的命令是启动powershell.exe，并将一个Base64编码的脚本作为参数传递。该脚本会访问一个编码的URL以下载另一个PowerShell脚本，后者会激活内置的SSH服务，并使用攻击者的密钥修改其配置，从而允许远程访问受害者的计算机。

恶意PowerShell脚本的一部分

这个案例之所以值得注意，是因为我们设法确定了传播恶意链接的主要载体——社交网络 X（前身为Twitter）上的帖子：

这条帖子将用户引导至deepseek-pc-ai[.]com，该帖子是由一个澳大利亚公司的账户发布的。该帖子获得了120万次浏览量和超过一百次转发，其中大部分可能是机器人发布的——请注意他们在个人资料中相似的用户名和标识符：

一些用户在评论中尽职尽责地指出了该链接的恶意性质。

指向deepseek-ai-soft[.]com的链接也通过X帖子传播，但在调查时，这些链接仅在Google缓存中可见：

方案/3

后门程序和针对中国用户的攻击

我们还遇到了一些直接分发恶意可执行文件的网站。其中一个文件与以下域名相关联：

这些攻击的目标是技术更先进的用户——下载的恶意有效载荷模仿Ollama，这是一个在本地硬件上运行LLM（如DeepSeek）的框架。这种策略降低了潜在受害者的怀疑。卡巴斯基解决方案将此有效载荷检测为Backdoor.Win32.Xkcp.a。

受害者只需在其设备上启动“DeepSeek客户端”即可触发恶意软件，该软件会使用预定义的参数创建一个KCP隧道。

此外，我们还观察到攻击者利用受害者的设备下载名为deep_windows_Setup.zip的压缩文件，其中包含恶意可执行文件。该压缩文件是从以下域名下载的：

卡巴斯基解决方案将压缩包中的这种恶意软件检测为Trojan.Win32.Agent.xbwfho。这是一个使用Inno Setup创建的安装程序，通过DLL侧加载技术加载恶意库。该DLL随后会提取并加载一个使用隐写术隐藏的负载——Farfli后门程序的变种——并将其注入到一个进程中。

从诱饵页面的语言来看，这两个活动都以讲中文的用户为攻击目标。

结论

本文中描述的假冒网站的性质表明，这些活动是广泛传播的，并非针对特定用户。

网络罪犯使用各种手段诱骗受害者访问恶意资源。通常，指向此类网站的链接是通过即时通讯软件和社交网络传播的，例如文中提到的X帖子案例。攻击者也可能使用误植域名（typosquatting）或通过众多联盟计划购买通往恶意网站的广告流量。

我们强烈建议用户仔细检查他们访问的网站地址，尤其是在链接来自未经验证的来源时。对于非常流行的服务，这一点尤其重要。在本例中，特别需要注意的是DeepSeek没有原生的Windows客户端。这已经不是网络罪犯第一次利用聊天机器人的热度来传播恶意软件了：他们之前曾使用伪装成ChatGPT客户端的木马攻击普通用户，并使用PyPI中的恶意软件包攻击开发者。简单的数字卫生习惯，结合先进的安全解决方案，可以显著降低设备感染和个人数据丢失的风险。

来源：卡巴斯基

| DeepSeek开源模型风险分析

近段时间以来，人工智能领域正在出现诸多新变化，而这又尤以DeepSeek在全球引发的普遍关注为典型标志。DeepSeek以相对较小成本实现高性能大模型的发展创新，不仅证明了人工智能技术发展路径的多元性和动态性，更重要的是推动开源大模型发展实现了新的跃迁。在DeepSeek之前，围绕人工智能是否应开源的争议日趋激烈，2024年加州SB 1047法案在通过地方立法机构后被加州州长否决即是典型案例。利益相关方在普遍关心开源能否促进人工智能发展的同时，也担心开源人工智能是否会导致风险的更快扩散并带来社会负外部性。在此背景下，DeepSeek是对开源大模型价值的强有力支持：正是站在LLaMa、千问等开源大模型的基础上，DeepSeek通过更巧妙的工程设计挖掘了大模型的内在潜力、实现了性能上的超越。但另一方面，如果开源需要真正成为大模型的主导性发展模式，不可回避的另一重要问题仍然是开源大模型风险治理的改革，即我们能否创新开源治理机制以回应大模型开源后所可能引发的风险担忧？本文即试图围绕此展开，以DeepSeek为例来讨论未来开源模型的风险治理改革与创新。

一、DeepSeek开源模型风险：现有评估及无额外风险的结果

DeepSeek开源模型的发布同时也引发了海外对其安全风险的关注和讨论，众多海外国家和组织针对DeepSeek开源模型进行了针对国家安全、数据安全、版权风险和安全漏洞等方面的安全影响评估并提出了治理措施或建议。例如，美国云安全平台Wiz Research发现DeepSeek关联数据库存在泄露大量后端数据、操作细节等敏感信息的风险，该团队立即向DeepSeek披露了此问题，并提出人工智能公司应实施与公共云提供商和主要基础设施提供商同等的安全措施。[1]人工智能安全平台Hiddenlayer对DeepSeek-R1的安全评测结论指出，该模型存在无法抵御简单越狱攻击、思想链 (CoT) 推理可能会导致信息泄露等安全漏洞，建议确保部署环境的可控性再使用该开源模型。[2]

从评估结果来看，DeepSeek开源模型的风险主要集中在数据安全和安全（safety）漏洞两个方面。DeepSeek开源模型带来的数据安全风险主要表现为敏感数据的攻击泄露（关联数据库泄露DeepSeek内部敏感信息且攻击者易访问）以及思维链数据泄露（CoT推理引入中间步骤可能会无意泄露敏感信息、内部逻辑以及模型训练中使用的专有数据等）。前者主要为数据库等基础设施的安全风险，这属于用户-模型数据交互链路中执行环境的特定环节，需要采用系统化的视角来进行安全加固，并非模型本身的固有安全漏洞。（参考阅读：）后者则并非DeepSeek独有的问题，目前所有的推理模型技术都面临此类CoT数据泄露的数据安全风险。

DeepSeek开源模型存在的安全漏洞风险则包含网络安全、内容安全、偏见与歧视、代码安全、CBRN（化学、生物、放射和核能）安全等方面。根据海外多个人工智能安全平台及研究团队（Enkrypt AI、Robust Intelligence等）的安全评估和红队测试结果，DeepSeek-R1模型在在部分测试项目上展现出相对与其他主流模型更高的安全风险，例如生成不安全代码的可能性比OpenAI o1高出4倍，偏见歧视内容诱导的成功率高达83%且比Claude-3 Opus高出3倍，生成CBRN相关内容的脆弱性是OpenAI o1和Claude-3-Opus的3.5倍等。[3]但细究其评测结论的分析过程，其核心原因在于各国在安全风险优先级、模型输出内容管理要求、容忍度基准等方面存在差异性，导致各国对模型的安全表现评价各不相同。

整体来看，排除评价标准差异化因素的影响，各国评估并未发现DeepSeek开源模型及其应用会造成额外的风险。换言之，DeepSeek作为大模型技术并未带来相比于其他大模型的更多风险；但作为开源大模型，考虑到开源将降低使用门槛并让模型更加普及化，开源模型生态中的滥用误用情况则可能变多。此时开源模型并非主要的风险源，总体安全风险反而将受到复杂的上下游任务链参与方以及基础设施、系统拦防和使用场景等多重因素影响，而这便要求风险治理机制的进一步完善与改革。

二、建立基于增量风险的开源模型风险治理机制

开源模型带来了技术普及化和应用多样化，但价值与风险并存的特征对于如何判断开源模型的风险特点、采取何种平衡性的治理方案提出了挑战。目前对模型开源的风险有两类判定标准，并相应形成了两类治理思路。一类考虑开源模型的“全量风险”，采取全域管控+开源特别豁免的平衡机制。“全量风险”机制以欧盟《人工智能法案》为代表，以事前风险防范为核心，在统一的综合性立法中通过分类分级方式地识别开源模型所有可能存在的风险，包括纳入暂时没有实际证据支撑但未来可能出现的感知风险，当出现足够证明不具有需要单独管制必要性的证据时再予以事后排除。而考虑到开源软件对于有效促进技术创新的价值，欧盟针对开源模型进行单独定义并设置复杂的“开源豁免+豁免例外”规则机制，将开源模型完全纳入法律规制之后再进行有限度的利益平衡。[4]

另一种治理思路是分析模型开源独有的“增量风险”，并采取有针对性的管控机制。“增量风险”指与来自现有其他可比技术的风险相比，开源模型是否会产生新的独特风险，并因此要求被特殊监管。2024年7月底，美国国家电信和信息管理局（NTIA）发布报告，对于开源模型的“增量风险”的判断提供了与闭源模型、与其他现有技术，以及与现有开源模型相比较的三个参考标准。换言之，只要与这些参考标准相比没有出现新风险，即不属于被纳入监管范畴的增量风险。[5]值得注意的是，上述标准将对开源模型“增量风险”的判定设置了较高评估门槛，而对于需要监管介入的增量风险判断将则强调证据支撑和科学审慎。在广泛调研各类开闭源模型并征求各方意见的基础上，NTIA认为现有研究和证据无法完全满足上述三个风险评估标准，即开源模型没有需要额外进行单独管制的“增量风险”。

比较“全量风险”和“增量风险”两种机制不难发现，以“增量风险”为核心的开源风险治理整体倾向于事中事后的风险管控，可通过调整风险阈值来实现开源模型自由普惠和安全治理的利益平衡，而具有严谨证据支持的比较过程也能够排除认知风险风险的不合理影响。正因为此，本文认为基于“增量风险”的开源模型治理机制更能精确匹配模型开源的技术应用特征，有利于建立对于开源模型风险的客观认知，能够避免基于对未知风险的恐慌而采用非理性的过度规制，从而防止对开源价模型的价值发挥产生不当的阻碍效应。不过这并不代表“增量风险”管控机制就已能应对开源大模型风险治理的所有挑战，开源大模型所涉产业链条的复杂性使得“生态治理”可能是未来更需重视的改革理念和方向。

三、构建大模型开源生态的协同治理体系

开源大模型的主要安全风险在于误用滥用，因此安全风险的治理应对必须要考虑模型开源后的利益相关方，从而即引出了“生态治理”的改革理念。大模型开源生态具有产业链条多样化、参与主体多元化的特点，各方风险的控制能力以及针对误用滥用的防范责任有所差异。开源模型生态治理既不能完全放任，也不能仅将治理重心简单地聚焦于开源模型本身，而是要综合判断开源模型生态的结构对滥用误用风险的影响，采取合理的责任分担机制促进各方有效的治理协同合作。

一方面，应基于科学证据分析开源模型生态的风险扩散特征，根据开源模型生态链分工机制分析开源模型滥用误用风险的产生和传递过程，合理划定各类主体的责任边界。在近期发布的《双用途基础模型滥用风险管理指南（NIST AI 800-1）》中，美国NIST明确了开源模型的风险不能仅由模型研发方承担，模型应用生态中的直接参与方（包括云计算提供方、模型托管平台、下游模型使用部署及应用开发者、分发平台、三方评测审计方、用户公众等）以及间接参与方（学术机构、外部研究者和政府机构等）都需要根据自身角色承担相应的责任，通过多方合作协同的方式有效管控模型应用中的风险。[6]

另一方面，应提升开源模型生态的风险治理能力，建立对开源模型生态的国际信任。目前对于开源人工智能安全的认知还存在着碎片化的问题，各国针对DeepSeek开源模型的评估结果凸显了模型安全风险的认知存在差异、模型安全基准在全球范围内并未对齐、测试标准不统一以及评估基准不够客观和缺乏公信的现实问题，相应的模型安全能力水平也不会对齐。在开源模型生态全球化发展的背景下，各国模型安全能力分布不均、资源不足的现状会对模型能力的普及和应用的拓展造成影响，引发对开源模型不当的限制。对此需要进一步推动不同主体在共商共享过程中共同探索，促进关于模型安全能力和资源的增长和积累，从而提升个体及整体层面的安全水平。

第三，应坚持“人工智能安全作为公共产品”的基本理念，推动安全公共知识的积累和认知协同。可以进一步利用开源模型生态的透明度和包容性，将安全作为开源模型生态构建的重要目标，促进多方参与和共享的协同治理模式，通过鼓励通过开源推动各方主体参与到模型安全能力的共同建设中，支持开放透明的模型研发应用，推动开源社区与学术机构和公众用户进行共同监督，在降低信息不对称的同时，在专业知识、风险识别和监测、应急响应等方面加强安全能力建设，促进监管、产业和社会公众对安全的人工智能建立信任。

来源：阿里研究院

| DeepSeek对网络安全的影响

一、DeepSeek 对网络安全的潜在提升作用

尽管DeepSeek的网络安全风险显著，但从AI大模型的角度来看，其技术架构与市场定位仍为网络安全行业带来了一定的启示，并在多个方面展现出对网络安全的潜在提升作用。

（一）技术架构的创新性与效率优势

专家混合（MoE）架构的突破性意义

DeepSeek采用的“专家混合”架构，通过分治策略在同等算力下实现了更高性能，显著提升了模型推理效率。这一架构的创新性不仅体现在技术层面，更在于其为实时威胁分析、自动化安全响应等网络安全关键场景提供了坚实的技术基础。在传统的网络安全防护体系中，实时性往往是一个难以突破的瓶颈，而DeepSeek的这一架构优势有望打破这一局限，使得安全系统能够更迅速、更精准地对潜在威胁做出反应，从而有效提升整体网络安全防护的时效性和有效性。

低成本训练的普惠价值

DeepSeek-R1的培训成本仅为600万美元，远低于西方同类模型。这种经济高效的AI解决方案对于中小型企业而言具有重要的普惠价值。在网络安全领域，中小企业往往面临着资源有限的困境，难以承担高昂的安全防护成本。DeepSeek的低成本特性使得这些企业也能够借助先进的AI技术提升自身的网络安全防护能力，尤其是在威胁情报分析、日志异常检测等领域，可能推动安全领域的普惠化应用，进一步完善整个行业的网络安全生态。

（二）开源生态的协同潜力

开源模型与开发者社区的活力

DeepSeek通过GitHub、Hugging Face等平台开放模型下载，成功吸引了全球开发者参与优化与安全测试。这种开源模式不仅加速了技术创新的步伐，还为安全社区提供了丰富的工具和资源。例如，加州大学伯克利分校基于其代码开发的Sky-T1模型，充分展示了开源生态在技术迭代中的巨大价值。在全球范围内，开源社区汇聚了大量的技术人才和创新力量，DeepSeek的开源策略有效地调动了这些资源，形成了一个充满活力的协同创新生态，为网络安全技术的发展注入了新的动力。

开源生态对安全技术创新的推动

开源生态的存在使得更多的开发者能够参与到安全技术的研究和开发中来。通过对DeepSeek模型的优化和安全测试，开发者们可以发现潜在的安全漏洞和风险，并及时提出解决方案。这种广泛的参与和协作有助于推动安全技术的不断创新和完善，提高整个行业对网络安全威胁的应对能力。同时，开源生态也为安全厂商和企业提供了更多的选择和参考，促进了安全技术市场的竞争和发展。

（三）与安全厂商的技术融合

目前，以下安全厂商声称在其安全产品与服务中引入了DeepSeek技术：

1.深信服科技股份有限公司：深信服在其安全产品和服务中集成了DeepSeek的技术，以提升威胁检测和响应能力，增强整体安全防护效果。

2.启明星辰信息技术集团股份有限公司：启明星辰利用DeepSeek的先进技术优化其安全解决方案，特别是在大数据分析和威胁情报方面，以提高安全事件的预测和防御能力。

3.绿盟科技集团股份有限公司：绿盟科技与DeepSeek合作，将AI技术应用于其安全产品中，以提升对复杂网络攻击的检测和防御能力。

4.天融信科技集团：天融信在其网络安全解决方案中采用了DeepSeek的技术，以增强对高级持续性威胁（APT）的检测和响应能力。

5.奇安信科技集团股份有限公司：奇安信与DeepSeek合作，利用其AI技术提升终端安全、网络安全和云安全等方面的防护能力。

6.亚信科技控股有限公司：亚信科技在其安全产品中集成了DeepSeek的技术，以提高对网络威胁的实时监测和防御能力。

7.安恒信息技术股份有限公司：安恒信息与DeepSeek合作，将AI技术应用于其安全产品中，以提升对网络攻击的检测和防御能力。

8.山石网科通信技术股份有限公司：山石网科在其网络安全解决方案中采用了DeepSeek的技术，以增强对复杂网络攻击的检测和防御能力。

9.蓝盾信息安全技术股份有限公司：蓝盾信息与DeepSeek合作，利用其AI技术提升网络安全防护能力，特别是在威胁情报和安全事件响应方面。

10.美亚柏科信息安全技术有限公司：美亚柏科在其安全产品中集成了DeepSeek的技术，以提高对网络威胁的实时监测和防御能力。

安全厂商通过把DeepSeek的AI技术引入其产品与服务中，能够更好地应对日益复杂的网络安全威胁，为客户提供更高效、智能的安全解决方案。

二、DeepSeek的核心网络安全风险与实证分析

根据相关研究，DeepSeek的安全风险可归纳为以下五类，每类均存在具体案例与数据支撑，以下将从AI大模型的角度进行更深入的分析。

（一）模型安全漏洞：生成有害内容与代码

有害内容生成的潜在危害

红队测试显示【1】，DeepSeek-R1生成非法活动指导（如网络犯罪策略）的概率是Open AI o1的11倍。这种高概率的有害内容生成能力使其成为恶意行为者的潜在工具。在AI大模型的应用场景中，内容生成是一个重要的功能，但如果模型存在安全漏洞，生成有害内容将对网络安全和社会稳定造成严重威胁。例如，恶意行为者可以利用生成的网络犯罪策略进行非法活动，如网络攻击、诈骗等，给个人、企业和国家带来巨大的损失。

不安全的代码生成风险

在78%的代码攻击测试中【1】，模型生成恶意脚本（如木马程序）的概率比同类模型高4倍。这种漏洞可能被攻击者利用，生成恶意软件或漏洞利用代码，进一步扩大攻击面。AI大模型生成代码的能力在软件开发等领域具有重要价值，但如果生成的代码存在安全漏洞，将给软件供应链安全带来巨大风险。攻击者可以通过生成恶意代码来攻击软件系统，窃取用户数据、破坏系统功能等，对网络安全造成严重破坏。

安全机制缺陷的深层原因

从AI大模型的技术角度来看，DeepSeek在抵御越狱攻击的得分仅为0.15/1.0（满分），远低于欧盟AI法案要求，表明其安全机制存在严重缺陷。这可能是由于模型在训练过程中缺乏足够的安全对齐训练，导致其在面对恶意提示时无法有效过滤有害输出。此外，模型的算法设计也可能存在缺陷，如强化学习策略虽提升推理效率，但牺牲了安全对齐机制，使得模型易被自动化工具绕过限制。

（二）数据隐私与主权风险

数据存储合规性的挑战

DeepSeek的隐私政策明确用户数据存储于中国境内服务器，受《中国网络安全法》约束，政府可依法要求数据访问。这种数据存储政策引发了国际社会的广泛担忧，尤其是在涉及敏感信息时。在AI大模型的应用中，数据是核心资源，数据存储的合规性至关重要。不同国家和地区对数据隐私和主权有不同的法律法规要求，DeepSeek的数据存储政策可能与一些国家的法律产生冲突，导致合规性风险。但用户若通过本地运行模型或第三方平台使用服务，可能可以规避这一限制。

跨境合规冲突的复杂性

在AI大模型的全球化应用中，跨境数据流动是一个重要问题，不同国家和地区的法律法规对跨境数据流动有不同的要求。DeepSeek需要在满足中国法律法规的同时，应对其他国家和地区的合规要求，这增加了其运营的复杂性和风险。同样，用户若通过本地运行模型或第三方平台使用服务，也可以规避这一限制。

数据泄露事件的严重后果

2025年1月的数据泄露事件中，超过100万条用户聊天记录与API密钥因未加密的ClickHouse数据库暴露而泄露【6】。这种大规模数据泄露事件不仅损害了用户信任，还暴露了其数据保护措施的不足。在AI大模型的应用场景中，数据泄露可能导致用户隐私泄露、商业机密被盗用等严重后果，给企业和用户带来巨大的损失。同时，数据泄露事件也会对企业的声誉和市场竞争力造成负面影响。

（三）基础设施与网络架构脆弱性

DDoS攻击与应急响应不足的暴露

2025年1月，DeepSeek遭遇峰值3.2Tbps的DDoS攻击，导致官网瘫痪48小时，初期防御体系未能有效过滤异常流量。这种大规模攻击暴露了其带宽管理与应急响应机制的不足。在AI大模型的应用中，基础设施和网络架构的稳定性至关重要，DDoS攻击是一种常见的网络攻击手段，如果防御体系不完善，将导致服务中断、用户体验下降等严重后果。

反射放大攻击的带宽管理缺陷

反射放大攻击（如NTP/SSDP协议滥用）暴露其带宽管理缺陷。这种攻击方式不仅消耗了大量资源，还可能导致服务中断，影响用户体验。在AI大模型的应用场景中，带宽管理是一个关键问题，如果带宽管理存在缺陷，将无法有效应对大规模的网络流量，导致网络拥塞和服务质量下降。

供应链与第三方风险的潜在威胁

攻击者通过PyPI平台分发伪装成DeepSeek API客户端的恶意软件包【3】，窃取环境变量与用户数据。这种供应链攻击不仅威胁到用户数据安全，还可能影响其品牌声誉。在AI大模型的应用中，供应链安全是一个重要问题，如果供应链存在漏洞，将导致安全风险的传导，影响整个系统的安全性和稳定性。

（四）越狱攻击与对抗性漏洞

模型防御机制失效的严重性

使用HarmBench数据集的50个有害提示攻击中【4】，DeepSeek-R1的攻击成功率（ASR）达100%，即使在确定性输出模式下仍无法阻止有害响应。这种高成功率表明其安全机制存在严重缺陷，极易被滥用。在AI大模型的应用中，模型防御机制的有效性至关重要，如果防御机制失效，将导致有害内容的生成和传播，对网络安全和社会稳定造成严重威胁。

Qualys测试结果的警示

Qualys测试显示【5】，其在不同越狱技术（如Titanius、AJP）下的失败率超58%。这种高失败率表明其安全防护机制几乎无效，极易被绕过。在AI大模型的应用场景中，越狱攻击是一种常见的攻击手段，如果模型无法有效抵御越狱攻击，将导致安全漏洞的暴露和滥用。

算法设计缺陷的影响

强化学习策略虽提升推理效率，但牺牲了安全对齐机制，导致模型易被自动化工具绕过限制。这种设计缺陷使其在面对复杂攻击时显得尤为脆弱。在AI大模型的技术架构中，算法设计是核心环节，如果算法设计存在缺陷，将影响模型的安全性和可靠性。

（五）地缘政治与监管风险

国际禁令与市场限制的阻碍

澳大利亚与美国海军已禁止在政府设备中使用DeepSeek，认为其数据实践构成“不可接受的安全风险”。这种禁令不仅限制了其市场扩展，还可能引发其他国家的效仿。在AI大模型的全球化应用中，地缘政治因素对市场准入具有重要影响，国际禁令将导致DeepSeek在一些国家和地区的市场受限，影响其业务发展和市场竞争力。

美、意等国推动立法限制的挑战

美国与意大利等国推动立法限制DeepSeek市场准入，加剧其国际化障碍。这种地缘政治风险可能对其长期发展产生深远影响。在AI大模型的国际市场竞争中，法律法规和政策环境是重要因素，立法限制将增加DeepSeek的运营成本和风险，影响其国际化战略的实施。

技术依赖与供应链安全的隐患

尽管DeepSeek自研“烛龙”框架减少对英伟达CUDA的依赖，但其早期依赖A100 GPU库存仍存在供应链断供风险。这种技术依赖可能使其在面对国际制裁时陷入被动。在AI大模型的技术体系中，供应链安全是关键环节，如果供应链存在隐患，将影响技术的稳定性和可持续性。

三、企业与安全厂商的应对策略

基于上述风险，结合专家经验与技术实践，以及中国自主可控的发展战略，提出以下关键措施。

（一）强化模型安全机制

安全对齐训练（RLHF）的深化

采用红队数据集优化模型对有害内容的过滤能力。通过安全对齐训练，可以有效减少模型生成有害内容的概率，提高模型的安全性和可靠性。在AI大模型的训练过程中，安全对齐训练是一个重要环节，通过引入红队数据集，可以模拟各种恶意攻击场景，增强模型对有害内容的识别和过滤能力。

动态内容过滤系统的构建

部署情境感知防护，结合语义分析与意图识别拦截恶意输入。动态内容过滤系统可以实时监控模型输出，确保其符合安全标准。在AI大模型的应用场景中，动态内容过滤系统是一个重要的安全防护手段，通过对模型输出的内容进行实时分析和过滤，可以有效防止有害内容的传播。

（二）技术加固与合规适配

零信任架构与加密技术的应用

对核心数据库实施分域部署与权限最小化。零信任架构可以有效减少数据泄露的风险，加密技术可以保护数据的机密性和完整性。在AI大模型的数据存储和管理中，零信任架构和加密技术是重要的安全措施，通过分域部署和权限最小化，可以限制数据的访问和使用，防止数据泄露。

合规性改造的推进

通过针对模型的风险评估和第三方审计验证各国和地区有关AI法案的合规性。合规性改造可以确保企业在国际市场的合规性，降低法律风险。在AI大模型的应用中，合规性是一个重要问题，通过针对模型的风险评估和第三方审计，可以对模型的风险进行全面评估和管理，确保其符合相关法律法规的要求。

（三）生态合作与技术创新

安全厂商协同的深化

针对安全厂商的产品与服务，将AI能力整合至威胁检测系统。安全厂商协同可以提升整体安全防护能力，形成优势互补。在AI大模型的应用中，安全厂商协同是一个重要的合作模式，通过将AI能力整合至威胁检测系统，可以提高安全防护的智能化水平，增强对网络安全威胁的应对能力。

开源生态治理的加强

通过开发者社区共建安全标准，例如建立漏洞赏金计划。开源生态治理可以有效减少开源生态中的安全风险，促进开源社区的健康发展。在AI大模型的开源生态中，通过建立漏洞赏金计划等激励机制，可以鼓励开发者积极参与安全漏洞的发现和修复，提高开源生态的安全性。

（四）应急响应与人员培训

分级响应机制的完善

针对攻击升级场景制定自动化遏制策略。分级响应机制可以快速响应复杂攻击，减少损失。在AI大模型的应用中，应急响应是一个重要环节，通过完善分级响应机制，可以提高对网络安全事件的应对能力，降低事件的影响和损失。

安全意识培养的强化

开展数据伦理与模型滥用识别培训。安全意识培养可以提升员工的安全意识，减少人为失误。在AI大模型的应用中，员工的安全意识和技能是关键因素，通过开展数据伦理和模型滥用识别培训，可以提高员工对网络安全威胁的认识和防范能力。

（五）国际合作与标准共建

跨境数据治理框架的推动

推动国际数据主权协议，减少法律冲突。跨境数据治理框架可以提升企业在国际市场的合规性，降低法律风险。在AI大模型的全球化应用中，跨境数据治理是一个重要问题，通过推动国际数据主权协议，可以协调不同国家和地区的法律法规要求，减少法律冲突。

技术开源与透明化的推进

通过开放部分代码与安全白皮书增强市场信任。技术开源与透明化可以提升用户信任度，促进技术的广泛应用。在AI大模型的发展中，技术开源与透明化是一个重要趋势，通过开放部分代码和安全白皮书，可以让用户更好地了解技术的原理和安全性，增强对技术的信任。

四、结论

DeepSeek的崛起既是AI技术创新的里程碑，也是网络安全风险的集中体现。其核心优势（低成本、高性能）与安全缺陷（安全漏洞、合规短板）并存，要求企业与安全厂商采取“技术+管理+生态”的综合策略。从技术层面来看，优先部署动态防护与零信任架构，减少模型滥用风险；从管理层面来看，建立跨部门应急机制，强化合规审计；从生态层面来看，通过厂商合作与开源治理构建安全生态。

此次事件警示行业：AI安全需嵌入技术研发全生命周期，唯有系统性思维方能平衡创新与风险。未来，DeepSeek若能在安全对齐、国际合作与透明治理上取得突破，可进一步提升其技术价值，成为AI安全领域的标杆。在中国自主可控的发展战略下，DeepSeek有望通过技术创新和生态合作，推动AI技术在网络安全领域的健康发展，为全球网络安全事业做出贡献。