最近，DeepSeek火了，也帶動大模型迎來了又一輪的熱潮。但與此同時，隨著大模型的應(yīng)用日益廣泛，其中蘊含的風(fēng)險也引人擔(dān)憂。

一、大模型的安全風(fēng)險

應(yīng)用大模型的安全風(fēng)險主要來自哪些方面?

去年年底，OWASP針對大型語言模型(LLM)發(fā)布了十大風(fēng)險漏洞，分別是提示注入、 敏感信息泄露、供應(yīng)鏈安全、 數(shù)據(jù)和模型投毒、不當(dāng)輸出處理、過度代理權(quán)限、系統(tǒng)提示泄漏、向量和嵌入漏洞、錯誤信息和無界消耗。

二、AI時代的API安全挑戰(zhàn)

隨著數(shù)字化世界的不斷演進(jìn)，API已成為最主流的交易和使用協(xié)議。

然而，隨著API的廣泛應(yīng)用，安全問題也日益凸顯，API攻擊事件逐年增加。根據(jù)預(yù)估，2030年針對API的攻擊相比2021年增長了996%。

專注于Web應(yīng)用程序安全的非營利組織OWASP(Open Web Application Security Project)曾在2023年列出了針對API必須解決的十大安全問題。

這些風(fēng)險也延續(xù)進(jìn)了大模型領(lǐng)域。API是企業(yè)構(gòu)建AI架構(gòu)并實現(xiàn)向最終用戶交付AI驅(qū)動服務(wù)的關(guān)鍵訪問方式，API安全對于保護(hù)企業(yè)信息資產(chǎn)、維護(hù)系統(tǒng)穩(wěn)定性和推動業(yè)務(wù)創(chuàng)新具有

重要意義，但未經(jīng)保護(hù)的API會使AI應(yīng)用和數(shù)據(jù)面臨DDoS攻擊，信息泄漏等各種威脅。

比如DeepSeek自1月27日開始，就多次出現(xiàn)“網(wǎng)頁/API服務(wù)異常”。1月28日凌晨，DeepSeek官網(wǎng)連續(xù)發(fā)布2條公告稱，DeepSeek線上服務(wù)受到大規(guī)模惡意攻擊，導(dǎo)致平臺注冊繁忙，并暫時限制了+86手機(jī)號以外的注冊方式。