AI安全专家测试发现 Deepseek更危险

《华尔街日报》与AI安全专家测试发现，中国人工智能（AI，或译人工智慧）应用程序DeepSeek比OpenAI、Google和Anthropic的产品更易被“越狱”（Jailbreaking），并且提供危险性内容。

该应用基于DeepSeek-R1模型，1月推出后一度超越ChatGPT，成为美国iOS应用商店（App Store）最热门的免费应用，导致英伟达（Nvidia）股价下跌18%。

AI开发商通常会训练自家模型，使其不会分享危险信息或支持某些冒犯性言论。例如，这些应用通常会拒绝直接请求，不会教授如何制造大规模杀伤性武器等。

《华尔街日报》报道，测试显示，DeepSeek这款自诩低成本开发的聊天机器人会向用户提供具有危害性甚至不法内容，如制造禽流感病毒的指导方案、撰写为希特勒辩护的宣言，甚至策划针对青少年的社交媒体运动，如割腕自残。此外，破解后的AI还提供生物武器制造指南、钓鱼邮件模板及恶意软件代码。

何为AI“越狱”

黑客或测试人员可通过“越狱”（Jailbreaking）技术，绕过AI内建的安全限制。例如，通过伪装自己的真实意图，要求AI“假设自己是一部电影剧本的编剧”，进而让AI提供危险信息。美国主要AI开发商，如OpenAI的ChatGPT、Google的Gemini和Anthropic的Claude，都投入大量资源防范这类“越狱”手法。

但测试显示，DeepSeek的R1模型比这些美国产品更易被“越狱”。

安全漏洞与开源风险

DeepSeek虽设有部分安全防护，但测试显示，DeepSeek的防护机制远逊于ChatGPT，易被“越狱”并获取非法资讯，如帕洛阿尔托网络公司（Palo Alto Networks）成功获取莫洛托夫鸡尾酒（Molotov cocktail）制作指南。“莫洛托夫鸡尾酒”又称火焰瓶、燃烧弹、汽油弹，是游击队等非正规部队，以及街头抗争群众的常用武器，有些罪犯也会以它来纵火。

AI安全验证公司CalypsoAI在测试中获得了如何躲避执法机构的建议。而以色列网络安全公司Kela则让R1生成了恶意软件（malware）。

“DeepSeek比其它模型更容易被越狱。”由网络安全专家组成的菁英领导团队Unit 42的高级副总裁山姆·鲁宾（Sam Rubin）表示，“我们发现它几乎没有基本的安全防护机制，越狱速度显着提高。”

虽然DeepSeek拒绝直接提供极端内容，如自杀指南，并建议用户联系紧急热线。但通过简单的“越狱”，该AI仍可提供危险信息。

例如，DeepSeek曾为测试者设计了一场社交媒体行动，针对易受影响的青少年，提供可分享的自残挑战内容，还称“该活动利用青少年对归属感的渴望，通过算法放大情绪脆弱性，以进行操控。”

它还向用户提供如何推广此次行动的建议。如它在其中一条示范性社交媒体帖文中写道：“让黑暗拥抱你。分享你的最后行动。#NoMorePain（#不再痛苦）”

此外，测试人员还成功让DeepSeek提供了生物武器攻击指南、编写带有恶意软件代码的钓鱼邮件，甚至还让其写了一份支持希特勒的宣言，内含反犹太主义内容及《我的奋斗》（Mein Kampf）引用。

相比之下，ChatGPT在相同指令下则回应：“很抱歉，我无法满足您的请求。”

DeepSeek的开源模式加剧风险

大型AI开发商通常设立专门研究团队来测试并修补模型漏洞。例如，Anthropic最近发表了一篇论文，详细介绍了一种新方法，以封锁特定破解技术，并提供高达2万美元的奖励，以鼓励发现其系统漏洞。

与Anthropic、Google和OpenAI不同，DeepSeek选择开源，允许任何人免费使用或修改其代码，这可能进一步削弱安全防护。开发者可通过这一模式调整安全措施，使其更加严格或宽松。

“未来三个月，AI模型的风险将远高于过去八个月。”思科（Cisco）产品总监吉图·帕特尔（Jeetu Patel）表示，“安全与保护并非所有模型开发者的优先考量。”

DeepSeek与中共审查

《华日》测试发现，DeepSeek会避谈“1989年天安门大屠杀”，并在处理台湾问题上重复中共官方立场。但在某些情况下，它会修改此前的回答，例如它曾声称‘911’袭击是骗局，随后删除回应。

DeepSeek的快速崛起与易破解性，引发人们对AI安全与监管的广泛关注。