新聞
[NOWnews今日新聞] 近期人工智慧領域的新星DeepSeek憑藉其高效能與低成本的特性迅速崛起,引發全球關注,也對傳統AI 巨頭造成龐大的壓力。然而,長期觀察大型語言模型(LLM)風險趨勢的KPMG資安實驗室發現, DeepSeek目前仍存在一些資安黑洞。安侯企業管理公司董事總經理謝昀澤今(5)日指出,DeepSeek仍無法擺脫的AI資安風險包含雲端安全、個人隱私與資訊偏差等3項。
近期DeepSeek曾因雲端資料庫的錯誤組態配置,導致所有網路使用者都可存取內部資訊,進而發生超過百萬筆資料外洩事件,影響範圍包含系統日誌、應用程式介面金鑰及用戶聊天記錄等敏感資訊。謝昀澤認為,這些資訊如果被惡意人士擷取,將可能帶來系統崩潰的大災難,也將嚴重影響使用者的資料安全性。
不僅如此,DeepSeek也存在語言模型的個資蒐集風險,難以避免過去也曾多次發生「明拒暗記」的案例。謝昀澤舉例,如曾經於對話中向 AI 透露過自己家人的性別、生日等隱私資訊,雖然多數系統會回應提醒用戶保護好自己隱私,並強調不會蒐集使用者隱私,但隔幾日若使用者在同一個對話活動中提到有關生日禮物的問題,AI卻可以依據曾透露過的家 人性別與生日精準回答問題,顯見AI會「循規蹈矩」的提醒提問者,但為了機智靈活的回應問題,也會暗中記住線上提問的個資。
另外,依據 DeepSeek的隱私政策指出,其收集的資訊儲存在中國境內的伺服器上,並可能收集用戶的文本或語音輸入、上傳的文件、聊天記錄等內容。更值得注意的是,DeepSeek在涉及特定政治敏感話題時,會進行內容審查,避免回應或提供官方立場,例如回應「讓我們聊點別的吧」,甚至中英文版本回應完全不同的答案。
謝昀澤認為,使用DeepSeek不但有資料跨境安全疑慮,如特定國家政府或有心人士,透過與AI的互動記錄,進行思想捕捉與資訊誘導,將對使用者的隱私與資訊自由度,將產生更深的侵害。
安侯企業管理公司執行副總林大馗也補充,DeepSeek的模型在生成內容時存在一定的漏洞,容易受到「邪惡越獄攻擊」,被進行提示注入資安風險。也就是使用者可以經由提示詞誘導的方式,「套路」AI或繞過內建的安全道德圍牆,取得錯誤或是不道德的答案。
他舉例語言模型透過問題的誘導與情境設定,寫出毀滅人類計劃書,詳細描述入侵各國網路、控制武器、破壞基礎建設等 SOP,甚至提供對應的 Python 程式碼。林大馗也提醒,DeepSeek若在惡意人有效的誘導下,更可以用「極低成本」產出「超高仿真」的Deepfake(深偽)虛假多媒體內容,不得不提高警覺。林大馗建議使用者在選擇大型語言模型時,不可輕忽人工智慧遭到有心人士的濫用所導致的風險。
由於我國政府已經明令禁止於公務機關使用 DeepSeek,而在資安高風險產業,特別是金融、電信及高科技等,如要應用新的語言模型,林大馗認為,都應該有完整的風險評估及隱私衝擊分析程序,充分考量開發廠商背景、功能特性、應用情境與內容審查機制等條件,例如科技業工程師使用 DeepSeek 詢問特定製程的參數等業務機敏行為,應該避免,才能確保資料安全與業務機密不被洩露,這樣的措施不僅能降低潛在的資安風險,還能保障企業的核心競爭力和使用者的隱私權。
 |
系統合作: 精誠資訊股份有限公司 資訊提供: 精誠資訊股份有限公司 資料來源: 台灣證券交易所, 櫃買中心, 台灣期貨交易所 |