深

DeepSeek 及其 R1 模型正在实时重塑网络安全人工智能的规则，从初创公司到企业提供商，本月都在试用与新模型的集成。

R1 在中国开发，基于纯粹的强化学习 (RL)，没有监督微调。它也是开源的，这使其立即吸引了几乎所有致力于开源架构、开发和部署的网络安全初创公司。

DeepSeek 在该模型上的 650 万美元投资带来了与 OpenAI 的 o1-1217 在推理基准测试中相匹配的性能，同时在较低级别的 Nvidia H800 GPU 上运行。DeepSeek 的定价设定了新的标准，与 OpenAI 的模型相比，每百万个令牌的成本显着降低。DeepSeek 推理模型的收费为每百万个输出令牌 2.19 美元，而 OpenAI 的 o1 模型则收取 60 美元。这种价格差异及其开源架构引起了 CIO、CISO、网络安全初创公司和企业软件提供商的关注。

（有趣的是，OpenAI 声称 DeepSeek 使用其模型来训练 R1 和其他模型，甚至声称该公司通过多个查询窃取了数据。）

美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 首任局长克里斯·克雷布斯（Chris Krebs）以及最近的 SentinelOne 首席公共政策官警告说，模型的安全性和可信赖性的核心问题在于模型的核心是否包含审查和隐蔽的偏见。

“对批评中国共产党的言论进行审查可能已‘内置’到模型中，因此，这是一个需要应对的设计特征，可能会影响客观结果，”他说。“中国人工智能模型的这种‘政治性脑切除术’可能支持……美国基于开源的人工智能模型的开发和全球传播。”

他指出，正如争论所说，使美国产品民主化应该会增加美国在国外的软实力，并削弱中国审查制度在全球的传播。“R1 的低成本和简单的计算基础让人质疑美国剥夺中国公司获得包括 GPU 在内的西方尖端技术的策略的有效性，”他说。“从某种意义上说，他们真的在‘用更少的资源做更多的事情’。”

Reco 的 CISO 以及多家安全初创公司的顾问梅里特·贝尔（Merritt Baer）告诉 VentureBeat，事实上，“在西方互联网来源控制的更广泛的互联网数据（或者也许更准确地说是缺乏中国控制和防火墙）上训练 [DeepSeek-R1]，可能是解决一些担忧的解药。我不太担心显而易见的事情，比如审查对习近平主席的任何批评，我更担心的是模型中难以定义的政治和社会工程。即使是模型创建者是受中国影响力活动体系的一部分这一事实也是一个令人不安的因素——但这不是我们选择模型时应该考虑的唯一因素。”

由于 DeepSeek 使用获准在中国销售但缺乏更先进的 H100 和 A100 处理器性能的 Nvidia H800 GPU 训练模型，DeepSeek 进一步将其模型民主化，任何能够负担得起运行该模型的硬件的组织都可以使用它。关于如何构建一个能够运行 R1 的价值 6000 美元的系统的估计和物料清单正在社交媒体上迅速传播。

R1 及其后续模型将被构建为绕过美国的技术制裁，克雷布斯认为这是一个对美国人工智能战略的直接挑战。

Enkrypt AI 的 DeepSeek-R1 红队报告发现，该模型容易生成“有害、有毒、有偏见、CBRN 和不安全的代码输出”。红队继续说道：“虽然它可能适用于范围狭窄的应用，但该模型在运营和安全风险领域显示出相当大的漏洞，如我们的方法中所述。我们强烈建议实施缓解措施，如果要使用此模型。”

Enkrypt AI 的红队还发现，DeepSeek-R1 的偏见是 Claude 3 Opus 的三倍，生成不安全代码的可能性是 Open AI 的 o1 的四倍，毒性是 GPT-4o 的四倍。红队还发现，该模型创建有害输出的可能性是 Open AI 的 o1 的 11 倍。

DeepSeek 的移动应用程序现在主导了全球下载量，网络版本也出现了创纪录的流量，所有在两个平台上共享的个人数据都存储在中国服务器上。企业正在考虑在隔离的服务器上运行该模型以降低威胁。VentureBeat 了解到，在美国各组织中，试点项目正在使用商品化硬件运行。

在移动和网络应用程序上共享的任何数据都可以被中国情报机构访问。

中国国家情报法规定，公司必须“支持、协助和配合”国家情报机构。这种做法非常普遍，对美国公司和公民构成了如此大的威胁，以至于国土安全部发布了数据安全业务咨询。由于这些风险，美国海军发布了一项指令，禁止在任何与工作相关的系统、任务或项目中使用 DeepSeek-R1。

那些迅速试用新模型的组织正在全力以赴地使用开源并隔离测试系统，使其与内部网络和互联网隔离开来。目标是为特定用例运行基准测试，同时确保所有数据保持私密。Perplexity 和 Hyperbolic Labs 等平台允许企业在美国或欧洲数据中心安全地部署 R1，使敏感信息不受中国法规的影响。请参阅对模型这方面的出色总结。

初创公司 Prompt Security 的首席执行官伊塔马尔·戈兰（Itamar Golan）以及 OWASP 大型语言模型 (LLM) 前 10 名的核心成员认为，数据隐私风险不仅限于 DeepSeek。“组织也不应该将其敏感数据输入 OpenAI 或其他美国基于模型的提供商，”他指出。“如果数据流向中国是一个重大的国家安全问题，美国政府可能希望通过战略举措进行干预，例如补贴国内人工智能提供商以保持竞争性定价和市场平衡。”

Prompt 认识到 R1 的安全缺陷，在模型推出后的几天内就增加了对检查 DeepSeek-R1 查询生成的流量的支持。

在对 DeepSeek 的公共基础设施进行调查期间，云安全提供商 Wiz 的研究团队发现了一个在互联网上公开的 ClickHouse 数据库，其中包含超过一百万行日志，包括聊天记录、密钥和后端详细信息。数据库没有启用身份验证，这使得快速提升权限成为可能。

Wiz 研究团队的发现强调了快速采用未建立在规模化强化安全框架上的 AI 服务的危险。Wiz 负责任地披露了漏洞，促使 DeepSeek 立即锁定数据库。DeepSeek 的最初疏忽强调了任何 AI 提供商在推出新模型时需要牢记的三个核心教训。

首先，在发布模型之前，进行红队测试并彻底测试 AI 基础设施安全。其次，执行最小权限访问并采用零信任思维，假设您的基础设施已被入侵，并且不信任跨系统或云平台的多域连接。第三，让安全团队和 AI 工程师协作并拥有模型如何保护敏感数据。

克雷布斯警告说，该模型的真正危险不仅在于其制造地，还在于其制造方式。DeepSeek-R1 是中国科技行业的产物，在该行业中，私营部门和国家情报目标密不可分。将模型隔离或在本地运行作为安全措施的想法是一种错觉，因为正如克雷布斯解释的那样，偏见和过滤机制已经在基础层面“内置”。

网络安全和国家安全领导人一致认为，DeepSeek-R1 是我们将在中国和其他强制控制所有收集数据的国家看到的众多具有出色性能和低成本的模型中的第一个。

底线：长期以来，开源一直被视为软件中的民主化力量，但该模型创造的悖论表明，如果一个国家选择这样做，它可以多么容易地随意将开源武器化。