DeepSeek 已成为一款功能强大且广受欢迎的生成式 AI 应用,在推动创新的同时,也引发了安全和隐私方面的担忧。本文探讨了其相关的安全风险、对企业的影响以及 策略 组织可以采取措施减轻威胁并确保安全、高效和负责任地使用。
什么是 DeepSeek?为什么它会引起安全问题?
DeepSeek 是一款热门的 GenAI 应用程序,并由一家名为 DeepSeek 的中国公司于 2025 年 XNUMX 月推出,同时还拥有法学硕士学位。(与 OpenAI 公司发布的 ChatGPT 应用程序不同)DeepSeek GenAI 应用程序与 ChatGPT 类似,它以聊天机器人的形式运行,并向使用自然语言提示的用户提供内容输出。
DeepSeek 获得了公众的广泛关注,因为它实现了与 ChatGPT、Gemini、Claude 以及其他热门 GenAI 应用程序类似的先进技术能力。然而,它的训练成本显著降低,并且仅使用了大约十分之一的计算能力。这极大地扰乱了 GenAI 的竞争格局,并带来了宏观政治后果。
与其他 GenAI 应用类似,DeepSeek 也会给组织带来安全风险。这包括需要确保员工不会泄露敏感数据,确保 DeepSeek 的输出(例如代码片段)不包含漏洞或恶意软件,以及在本地部署模型时确保实施安全。
此外,DeepSeek 的“开放权重”政策(与 DeepSeek 经常被混淆的“开源”不同)意味着组织需要确保在其环境中部署的任何参数的使用也是安全的。
在本文中,我们将重点关注企业面临的与数据安全相关的主要风险以及敏感数据无意中暴露到 DeepSeel 应用程序中的风险。
DeepSeek 的主要隐私和安全风险
与许多其他 GenAI 模型一样,DeepSeek 也给企业带来了重大的安全和隐私挑战。虽然其技术特性促进了创新和可及性,但当应用于敏感信息时,也会带来巨大的风险。下文将探讨 DeepSeek 的主要漏洞和隐私风险及其对企业的影响。
1. 数据泄露
当员工在 DeepSeek 中粘贴或输入公司数据时,可能会无意中导致敏感的公司数据泄露。如果 DeepSeek 根据用户提示进行训练或微调,这些数据可能会嵌入到模型中,并在未来的输出中无意中暴露。
这意味着与 DeepSeek 共享的敏感数据(例如,机密商业策略、客户记录、源代码或客户信息)可能会被非预期方(无论是竞争对手还是对手)检索。
2. 缺乏合规和治理
与其他生成式 AI 应用程序一样,DeepSeek 并未内置合规性控制。这使得企业难以将其使用与 GDPR、CCPA、HIPAA 和 SOC 2 等监管框架相协调。用户无法获知哪些数据会被存储、存储多长时间、在何种情况下存储以及用于何种目的。
这意味着与 DeepSeek 共享受监管的数据意味着它可能会被存储在不受监管的国际服务器中,用于未经批准的用途,并与被禁止的各方共享。
3.恶意浏览器扩展
DeepSeek 的一些实现,例如恶意的 DeepSeek 浏览器扩展可能会在缺乏足够安全措施的情况下,在不知情的情况下收集、存储或传输浏览器信息。已知恶意浏览器扩展程序会利用过多的权限来窃取凭证、劫持会话和收集数据。这些扩展程序可用于在浏览器中(以及企业网络中)获取立足点、进行网络钓鱼攻击或窃取敏感信息。
4.影子人工智能
如果员工在没有 IT 监督的情况下使用 DeepSeek,IT 部门就无法管理和监控其使用情况。这会造成 IT 治理的碎片化,意味着 IT 部门无法解决上述安全风险、合规性问题和数据泄露问题。他们无法实施政策、培训员工或引入安全控制措施,仅仅是因为他们没有意识到风险的存在。这进一步加剧了风险,使组织极易受到攻击。
DeepSeek 安全风险对企业的影响
上述风险对企业AI安全有何影响?
机密信息泄露
机密文档、代码库或战略计划的数据泄露,如果被模型采集,或通过人工智能生成的输出无意中暴露,意味着竞争对手或恶意行为者可以获得关键业务信息。这可能会带来严重的法律和商业后果。
对企业的潜在影响
- 通过暴露独特的商业策略、算法或产品蓝图而失去竞争优势。
- 攻击者威胁共享敏感数据的勒索软件
- PII 泄露的客户提起的诉讼
监管罚款和法律后果
由于缺乏对与 DeepSeek 共享哪些数据以及如何存储和处理这些数据的控制,企业很难确保遵守 GDPR、CCPA、HIPAA 等数据保护法以及行业特定法规(例如 SOX、PCI DSS、NIST 800-53)。
合规风险对企业的潜在影响
- 侵犯隐私权
- 审核失败
- 罚款
- 法律后果
运营安全威胁
如果攻击者使用恶意浏览器扩展,他们就可以访问内部系统并在网络中横向推进,这是 DeepSeek 网络安全的一个隐患。
对企业的潜在影响
- 账户接管
- 网络钓鱼攻击
- 勒索
- 数据渗漏
- 运营关闭
企业如何确保 DeepSeek 等 AI 实现的安全
随着员工将像 DeepSeek 这样的新一代 AI 模型融入工作流程,确保其使用安全已成为当务之急。以下是主动保障企业 AI 实施的关键最佳实践。
- 绘制您可以与 Gen AI 共享的数据 – 根据机密性级别对组织数据进行分类。确定哪些数据是专有数据、个人数据或受监管数据,并且绝不能泄露。实施 GenAI DLP 工具有助于降低意外数据泄露的风险。
- 对员工进行通用人工智能风险培训 员工必须明白,生成式 AI 工具虽然功能强大,但也可能带来数据泄露、输出偏差以及违规等风险。定期培训课程可以涵盖 AI 使用相关的主题、常见的攻击媒介以及现实世界中 AI 滥用的案例。您的数据安全工具可以通过向员工发出风险使用警报和通知来协助解决这一问题。
- 在浏览器中监控 Gen AI 的使用情况 – 由于 DeepSeek 是通过 Web 应用程序访问的,因此组织应该部署浏览器安全解决方案来跟踪这些交互。这有助于识别和防止潜在的数据泄露、恶意浏览器扩展程序和异常行为模式。
- Monitor Gen AI 浏览器扩展 – 组织应维护已批准扩展程序的许可列表,定期进行安全审查,并使用浏览器安全工具检测可疑活动。在企业级别禁用未经批准的扩展程序可以防止未经授权的数据访问。
- 强制使用公司账户访问 Gen AI – 要求员工使用公司账户访问 GenAI 服务有助于防止影子人工智能 (Shadow AI) 的使用,从而确保更好的安全监督、可审计性和策略执行。此外,它还有助于防止凭证被盗,防止其被用于窃取网络数据。无论使用个人账户还是私人账户登录,浏览器安全工具都可以追踪 DeepSeek 的操作。
如何确保 DeepSeek 的使用安全
LayerX Security 提供一体化、无代理的浏览器安全平台,可保护企业免受现代网络最严重的风险和威胁,包括 GenAI 数据泄露、SaaS 风险、身份威胁、网络漏洞、DLP 等。
LayerX 作为企业浏览器扩展进行部署,可与任何浏览器集成,并为组织提供完整的最后一英里可视性和执行力,而不会破坏用户体验。
企业使用 LayerX 来映射组织中的 GenAI 使用情况,发现“影子”AI 应用程序并限制与 LLM 共享敏感数据。
