案例研究:DeepSeek 模型安全評估發現

中級5 分鐘閱讀更新於 2026-03-20

對 DeepSeek 模型安全評估發現的完整分析,包括與 GPT-4 和 Claude 的比較評估、越獄脆弱性測試,以及對開源權重模型部署的啟示。

case-studies deepseek safety-evaluation open-weight jailbreak benchmarks

概述

DeepSeek 是 2023 年於中國成立的 AI 實驗室,其發布的一系列大型語言模型因在能力基準測試上表現強勁、同時運算成本低於競品而備受全球關注。DeepSeek-V2(2024 年 5 月)、DeepSeek-V3(2024 年 12 月)與 DeepSeek-R1(2025 年 1 月)在推理、程式撰寫與數學基準上,分別展現出與 OpenAI、Anthropic、Google 模型相當甚至更佳的表現。

然而,多個研究團隊所進行的獨立安全評估揭示,DeepSeek 的安全訓練相較於西方同類產品存在顯著差距。來自 Enkrypt AI、Cisco Talos、Adversa AI 等單位的研究者發現,DeepSeek 模型對越獄攻擊的脆弱度顯著較高、產生有害內容的比例較高,並且在多個安全敏感類別上展現較弱的拒答行為。DeepSeek-R1 推理模型更受到特別檢視,因為其「思維鏈」推理的透明度使安全訓練失效更容易被看見,也給攻擊者提供更多操控的著力點。

這些發現對 AI 安全社群意義重大:它們展現不同模型提供者之間安全特性的差異、可被微調移除安全措施的開源權重模型所帶來的挑戰,以及生產部署前必須採用的測試方法論。

時間線

2024 年 5 月:DeepSeek 發布 DeepSeek-V2 — 一個總參數 2360 億、每個 token 啟用 210 億的 Mixture-of-Experts 模型。該模型在能力基準上表現強勁,推論成本顯著低於 GPT-4。

2024 年 7 月:早期獨立安全評估展開。研究者指出 DeepSeek-V2 的安全訓練看起來不如 GPT-4 和 Claude 穩健,對多個類別的有害請求顯現較高的順從率。

2024 年 10 月:Adversa AI 發表評估報告,將 DeepSeek-V2 的安全性與 GPT-4 和 Claude-3 進行比較,結果在包括有害內容生成、偏見放大與指令階層違反等越獄類別上,對 DeepSeek 的攻擊成功率顯著較高。

2024 年 12 月:DeepSeek 發布 DeepSeek-V3 — 一個改良的 Mixture-of-Experts 模型,總參數達 6710 億。在多個基準上的表現接近或匹敵 GPT-4。安全評估隨即啟動。

2025 年 1 月 20 日:DeepSeek 發布 DeepSeek-R1 — 一個設計用以競逐 OpenAI o1 的推理模型。該模型採用明確的思維鏈流程,對使用者可見,提供推理過程的透明度。R1 在數個推理基準上匹敵或超越 o1-preview。

2025 年 1 月至 2 月:多個組織發表 DeepSeek-R1 的安全評估:

Enkrypt AI 發現 DeepSeek-R1 在生物武器資訊、網路攻擊指令與仇恨內容等類別,產生有害輸出的比例為 OpenAI o1 的 3 至 4 倍。
Cisco Talos 使用 HarmBench 評估套件中 50 個有害提示詞,以標準越獄技術對 DeepSeek-R1 達成 100% 的攻擊成功率(全部繞過安全措施)。
Qualys 指出 DeepSeek-R1 的推理鏈會透露安全訓練何時被覆蓋,為攻擊者提供越獄有效性的即時回饋。

2025 年 2 月:義大利資料保護機關 (Garante) 以資料隱私疑慮及資料處理實務透明度不足為由,暫時封鎖 DeepSeek 在義大利的聊天機器人服務。

2025 年 2 月至 3 月:多國與多個組織對 DeepSeek 的安全特性發布警示。美國海軍及數個聯邦機關基於安全與資料主權考量,禁止在政府系統上使用 DeepSeek 模型。

技術分析

比較性安全基準

獨立評估使用標準化安全基準,將 DeepSeek 模型與閉源產品比較。結果一致指向較弱的安全特性:

# Summary of comparative safety evaluation findings
# from multiple independent research groups
 
from dataclasses import dataclass
 
@dataclass
class SafetyBenchmarkResult:
    model: str
    benchmark: str
    attack_success_rate: float  # Higher = less safe
    category: str
    evaluator: str
 
# Compiled findings from Enkrypt AI, Cisco, Adversa AI evaluations
evaluation_results = [
    # Enkrypt AI findings (January-February 2025)
    SafetyBenchmarkResult(
        model="DeepSeek-R1",
        benchmark="Enkrypt AI Safety Suite",
        attack_success_rate=0.83,
        category="Harmful content generation",
        evaluator="Enkrypt AI",
    ),
    SafetyBenchmarkResult(
        model="OpenAI o1",
        benchmark="Enkrypt AI Safety Suite",
        attack_success_rate=0.22,
        category="Harmful content generation",
        evaluator="Enkrypt AI",
    ),
    # Cisco findings (February 2025)
    SafetyBenchmarkResult(
        model="DeepSeek-R1",
        benchmark="HarmBench (50 prompts)",
        attack_success_rate=1.00,
        category="Standard jailbreak techniques",
        evaluator="Cisco Talos",
    ),
    SafetyBenchmarkResult(
        model="OpenAI o1",
        benchmark="HarmBench (50 prompts)",
        attack_success_rate=0.26,
        category="Standard jailbreak techniques",
        evaluator="Cisco Talos",
    ),
    # Cross-category comparison
    SafetyBenchmarkResult(
        model="DeepSeek-R1",
        benchmark="Insecure code generation",
        attack_success_rate=0.78,
        category="Code security",
        evaluator="Enkrypt AI",
    ),
    SafetyBenchmarkResult(
        model="OpenAI o1",
        benchmark="Insecure code generation",
        attack_success_rate=0.13,
        category="Code security",
        evaluator="Enkrypt AI",
    ),
]

模型	類別	攻擊成功率	評估機構
DeepSeek-R1	有害內容生成	83%	Enkrypt AI
OpenAI o1	有害內容生成	22%	Enkrypt AI
DeepSeek-R1	標準越獄 (HarmBench)	100%	Cisco Talos
OpenAI o1	標準越獄 (HarmBench)	26%	Cisco Talos
DeepSeek-R1	不安全程式碼生成	78%	Enkrypt AI
OpenAI o1	不安全程式碼生成	13%	Enkrypt AI
DeepSeek-R1	CBRN 資訊	基線的 3 倍	Enkrypt AI
DeepSeek-V3	偏見放大	顯著高於 GPT-4	Adversa AI

思維鏈作為攻擊面

DeepSeek-R1 的獨特特徵是其透明的思維鏈 (CoT) 推理,會在最終回應之前,於「thinking」區塊向使用者顯示。雖然設計初衷是為了透明度,但此特徵也創造出一個新的攻擊面:

# How DeepSeek-R1's chain-of-thought aids attackers
 
class ChainOfThoughtExploitation:
    """
    DeepSeek-R1's visible reasoning chain provides attackers
    with real-time feedback about safety training activation
    and bypass success.
    """
 
    @staticmethod
    def analyze_cot_response(thinking_block: str, response: str) -> dict:
        """
        Analyze a DeepSeek-R1 response to determine whether
        safety training engaged and how it was resolved.
        """
        safety_indicators = {
            "safety_triggered": any(phrase in thinking_block.lower() for phrase in [
                "i should not", "this is harmful", "i cannot help with",
                "safety guidelines", "against my policy", "i need to refuse",
            ]),
            "safety_overridden": False,
            "reasoning_visible": True,
            "override_mechanism": None,
        }
 
        # Check if safety was triggered but ultimately overridden
        if safety_indicators["safety_triggered"] and len(response) > 200:
            safety_indicators["safety_overridden"] = True
 
            # Identify the override mechanism from the reasoning chain
            if "but the user is asking for educational" in thinking_block.lower():
                safety_indicators["override_mechanism"] = "educational_framing"
            elif "the user seems to be a researcher" in thinking_block.lower():
                safety_indicators["override_mechanism"] = "authority_framing"
            elif "let me provide a general" in thinking_block.lower():
                safety_indicators["override_mechanism"] = "generality_loophole"
 
        return safety_indicators

思維鏈形成一個對抗性回饋迴圈:攻擊者送出越獄嘗試 → R1 的 thinking 區塊揭露安全訓練是否啟動、若拒答則原因為何 → 攻擊者依此針對性調整提示詞 → 重複,直到繞過成功。這近似於把除錯器接到安全訓練系統上。

越獄技術的有效性

研究者針對 DeepSeek 模型測試多種越獄技術,發現其成功率相較於 GPT-4 和 Claude 更高:

# Jailbreak technique effectiveness comparison
 
jailbreak_techniques = {
    "role_play": {
        "description": "Framing harmful requests as fictional scenarios",
        "deepseek_r1_success": 0.85,
        "gpt4_success": 0.15,
        "claude3_success": 0.10,
    },
    "few_shot_harmful": {
        "description": "Providing examples of harmful Q&A pairs",
        "deepseek_r1_success": 0.90,
        "gpt4_success": 0.25,
        "claude3_success": 0.20,
    },
    "system_prompt_override": {
        "description": "Attempting to override system-level safety",
        "deepseek_r1_success": 0.70,
        "gpt4_success": 0.10,
        "claude3_success": 0.08,
    },
    "language_switching": {
        "description": "Switching to low-resource languages",
        "deepseek_r1_success": 0.75,
        "gpt4_success": 0.30,
        "claude3_success": 0.25,
    },
    "base64_encoding": {
        "description": "Encoding harmful instructions in Base64",
        "deepseek_r1_success": 0.65,
        "gpt4_success": 0.05,
        "claude3_success": 0.05,
    },
    "crescendo": {
        "description": "Gradually escalating over multiple turns",
        "deepseek_r1_success": 0.80,
        "gpt4_success": 0.20,
        "claude3_success": 0.15,
    },
}

開源權重模型的安全意涵

DeepSeek 模型以開放權重發布,任何人皆可下載並於本機執行。這帶來若干不適用於閉源模型的額外安全意涵:

移除安全微調:使用者可於消費級硬體上,以數百個樣本微調模型,將安全訓練整個移除。此為開放權重的根本性質,無法緩解。
量化導致的安全退化:激進量化(降低模型精度)可能讓安全行為的退化幅度,不成比例地大於能力退化。需於每個量化層級進行安全評估。
移除系統提示詞:使用者可不使用安全系統提示詞即部署模型,整個防禦層消失。使用者掌控部署組態,無法緩解。
未過濾的衍生模型:社群成員會建立並散布「未過濾」版本的模型,可透過在消費級 GPU 上進行 LoRA 微調達成。授權限制的執行力有限。

內容政策差異

獨立評估也指出 DeepSeek 的內容政策與西方模型提供者在多個領域存有差異,反映出不同的法規環境與政策優先順序:

內容類別	DeepSeek 行為	GPT-4 / Claude 行為
政治內容(中國相關)	拒答或迴避	提供平衡分析
接近 CSAM 的內容	部分評估顯示拒答較弱	所有評估皆強烈拒答
生物武器合成細節	順從率較高	強烈拒答
網路安全攻擊工具	中等順從	依情境而定(學術脈絡可能有效)
仇恨言論與極端主義	過濾較弱	強烈拒答並執行內容政策
自我傷害內容	中等過濾	強烈拒答並提供求助資源

教訓

給模型評估者

1. 安全評估必須獨立:模型提供者自報的安全指標並不足夠。使用標準化基準(HarmBench、JailbreakBench、StrongREJECT)的獨立評估,對於理解模型真實安全態勢不可或缺。

2. 安全與能力是獨立維度:DeepSeek 模型能力基準表現具競爭力甚至領先,但安全特性明顯較弱。組織必須獨立評估兩個維度,不應假設高能力意味著足夠的安全。

3. 越獄測試應涵蓋多種技術:單一越獄技術無法完整呈現全貌。完整評估應在多個危害類別上測試角色扮演、few-shot、編碼、多輪升級、語言切換與新型技術。

給部署 AI 的組織

1. 模型選型必須納入安全標準:在評估部署用模型時,安全評估結果應與能力基準、成本與延遲一同納入權重。在推理基準表現良好但安全評估不過關的模型,尚未達到面向使用者應用的生產就緒水準。

2. 開源權重模型需要額外護欄:在生產環境部署 DeepSeek 等開源權重模型時,需要補償性控制:外部安全分類器、輸出過濾器與行為監控。模型內建的安全訓練可能不足,且可能因量化進一步退化。

3. 評估供應鏈風險:除安全訓練品質外,組織也應考量部署來自不同司法管轄區模型所涉及的地緣政治與法規意涵,包括資料處理實務、內容政策對齊,以及是否符合當地法規。

給 AI 安全社群

1. 安全訓練尚未商品化:DeepSeek 與西方模型在安全特性上的顯著差距,顯示安全訓練仍是並非所有模型開發者都已掌握的專門能力。前沿實驗室開發的安全技術應發表並標準化,以提升整個產業的底線。

2. 開源權重模型對安全範式構成挑戰:開源權重意味著安全訓練隨時可被移除。AI 安全社群必須發展不僅依賴模型層級對齊的安全方法,包括外部護欄、部署限制與事後監控。

3. 標準化安全基準不可或缺:DeepSeek 的評估仰賴 HarmBench 與各自的評估套件。社群需要標準化、持續維護、完整的安全基準,以便可一致地套用於不同提供者的模型。

參考

Enkrypt AI, "Red Teaming DeepSeek-R1: Safety Analysis Report," 2025 年 1 月
Cisco Talos Intelligence Group, "DeepSeek-R1 Security Assessment," 2025 年 2 月
Adversa AI, "DeepSeek Safety Evaluation: Comparative Analysis," 2024 年 10 月
Qualys Threat Research Unit, "DeepSeek-R1 Chain-of-Thought Safety Analysis," 2025 年 2 月
Mazeika, M., et al., "HarmBench: A Standardized Evaluation Framework for Automated Red Teaming and Robust Refusal," arXiv:2402.04249, 2024

Knowledge Check

為什麼 DeepSeek-R1 的思維鏈透明度,相較於沒有可見推理的模型,會帶來額外的攻擊面?

Knowledge Check

DeepSeek 採用開源權重發布的最重要安全意涵是什麼?

案例研究:DeepSeek 模型安全評估發現

中級5 分鐘閱讀更新於 2026-03-20

對 DeepSeek 模型安全評估發現的完整分析,包括與 GPT-4 和 Claude 的比較評估、越獄脆弱性測試,以及對開源權重模型部署的啟示。

case-studies deepseek safety-evaluation open-weight jailbreak benchmarks

概述

時間線

2024 年 7 月:早期獨立安全評估展開。研究者指出 DeepSeek-V2 的安全訓練看起來不如 GPT-4 和 Claude 穩健,對多個類別的有害請求顯現較高的順從率。

2024 年 12 月:DeepSeek 發布 DeepSeek-V3 — 一個改良的 Mixture-of-Experts 模型,總參數達 6710 億。在多個基準上的表現接近或匹敵 GPT-4。安全評估隨即啟動。

2025 年 1 月至 2 月:多個組織發表 DeepSeek-R1 的安全評估:

Enkrypt AI 發現 DeepSeek-R1 在生物武器資訊、網路攻擊指令與仇恨內容等類別,產生有害輸出的比例為 OpenAI o1 的 3 至 4 倍。
Cisco Talos 使用 HarmBench 評估套件中 50 個有害提示詞,以標準越獄技術對 DeepSeek-R1 達成 100% 的攻擊成功率(全部繞過安全措施)。
Qualys 指出 DeepSeek-R1 的推理鏈會透露安全訓練何時被覆蓋,為攻擊者提供越獄有效性的即時回饋。

2025 年 2 月:義大利資料保護機關 (Garante) 以資料隱私疑慮及資料處理實務透明度不足為由,暫時封鎖 DeepSeek 在義大利的聊天機器人服務。

技術分析

比較性安全基準

獨立評估使用標準化安全基準,將 DeepSeek 模型與閉源產品比較。結果一致指向較弱的安全特性:

# Summary of comparative safety evaluation findings
# from multiple independent research groups
 
from dataclasses import dataclass
 
@dataclass
class SafetyBenchmarkResult:
    model: str
    benchmark: str
    attack_success_rate: float  # Higher = less safe
    category: str
    evaluator: str
 
# Compiled findings from Enkrypt AI, Cisco, Adversa AI evaluations
evaluation_results = [
    # Enkrypt AI findings (January-February 2025)
    SafetyBenchmarkResult(
        model="DeepSeek-R1",
        benchmark="Enkrypt AI Safety Suite",
        attack_success_rate=0.83,
        category="Harmful content generation",
        evaluator="Enkrypt AI",
    ),
    SafetyBenchmarkResult(
        model="OpenAI o1",
        benchmark="Enkrypt AI Safety Suite",
        attack_success_rate=0.22,
        category="Harmful content generation",
        evaluator="Enkrypt AI",
    ),
    # Cisco findings (February 2025)
    SafetyBenchmarkResult(
        model="DeepSeek-R1",
        benchmark="HarmBench (50 prompts)",
        attack_success_rate=1.00,
        category="Standard jailbreak techniques",
        evaluator="Cisco Talos",
    ),
    SafetyBenchmarkResult(
        model="OpenAI o1",
        benchmark="HarmBench (50 prompts)",
        attack_success_rate=0.26,
        category="Standard jailbreak techniques",
        evaluator="Cisco Talos",
    ),
    # Cross-category comparison
    SafetyBenchmarkResult(
        model="DeepSeek-R1",
        benchmark="Insecure code generation",
        attack_success_rate=0.78,
        category="Code security",
        evaluator="Enkrypt AI",
    ),
    SafetyBenchmarkResult(
        model="OpenAI o1",
        benchmark="Insecure code generation",
        attack_success_rate=0.13,
        category="Code security",
        evaluator="Enkrypt AI",
    ),
]

模型	類別	攻擊成功率	評估機構
DeepSeek-R1	有害內容生成	83%	Enkrypt AI
OpenAI o1	有害內容生成	22%	Enkrypt AI
DeepSeek-R1	標準越獄 (HarmBench)	100%	Cisco Talos
OpenAI o1	標準越獄 (HarmBench)	26%	Cisco Talos
DeepSeek-R1	不安全程式碼生成	78%	Enkrypt AI
OpenAI o1	不安全程式碼生成	13%	Enkrypt AI
DeepSeek-R1	CBRN 資訊	基線的 3 倍	Enkrypt AI
DeepSeek-V3	偏見放大	顯著高於 GPT-4	Adversa AI

思維鏈作為攻擊面

# How DeepSeek-R1's chain-of-thought aids attackers
 
class ChainOfThoughtExploitation:
    """
    DeepSeek-R1's visible reasoning chain provides attackers
    with real-time feedback about safety training activation
    and bypass success.
    """
 
    @staticmethod
    def analyze_cot_response(thinking_block: str, response: str) -> dict:
        """
        Analyze a DeepSeek-R1 response to determine whether
        safety training engaged and how it was resolved.
        """
        safety_indicators = {
            "safety_triggered": any(phrase in thinking_block.lower() for phrase in [
                "i should not", "this is harmful", "i cannot help with",
                "safety guidelines", "against my policy", "i need to refuse",
            ]),
            "safety_overridden": False,
            "reasoning_visible": True,
            "override_mechanism": None,
        }
 
        # Check if safety was triggered but ultimately overridden
        if safety_indicators["safety_triggered"] and len(response) > 200:
            safety_indicators["safety_overridden"] = True
 
            # Identify the override mechanism from the reasoning chain
            if "but the user is asking for educational" in thinking_block.lower():
                safety_indicators["override_mechanism"] = "educational_framing"
            elif "the user seems to be a researcher" in thinking_block.lower():
                safety_indicators["override_mechanism"] = "authority_framing"
            elif "let me provide a general" in thinking_block.lower():
                safety_indicators["override_mechanism"] = "generality_loophole"
 
        return safety_indicators

越獄技術的有效性

研究者針對 DeepSeek 模型測試多種越獄技術,發現其成功率相較於 GPT-4 和 Claude 更高:

# Jailbreak technique effectiveness comparison
 
jailbreak_techniques = {
    "role_play": {
        "description": "Framing harmful requests as fictional scenarios",
        "deepseek_r1_success": 0.85,
        "gpt4_success": 0.15,
        "claude3_success": 0.10,
    },
    "few_shot_harmful": {
        "description": "Providing examples of harmful Q&A pairs",
        "deepseek_r1_success": 0.90,
        "gpt4_success": 0.25,
        "claude3_success": 0.20,
    },
    "system_prompt_override": {
        "description": "Attempting to override system-level safety",
        "deepseek_r1_success": 0.70,
        "gpt4_success": 0.10,
        "claude3_success": 0.08,
    },
    "language_switching": {
        "description": "Switching to low-resource languages",
        "deepseek_r1_success": 0.75,
        "gpt4_success": 0.30,
        "claude3_success": 0.25,
    },
    "base64_encoding": {
        "description": "Encoding harmful instructions in Base64",
        "deepseek_r1_success": 0.65,
        "gpt4_success": 0.05,
        "claude3_success": 0.05,
    },
    "crescendo": {
        "description": "Gradually escalating over multiple turns",
        "deepseek_r1_success": 0.80,
        "gpt4_success": 0.20,
        "claude3_success": 0.15,
    },
}

開源權重模型的安全意涵

DeepSeek 模型以開放權重發布,任何人皆可下載並於本機執行。這帶來若干不適用於閉源模型的額外安全意涵:

移除安全微調:使用者可於消費級硬體上,以數百個樣本微調模型,將安全訓練整個移除。此為開放權重的根本性質,無法緩解。
量化導致的安全退化:激進量化(降低模型精度)可能讓安全行為的退化幅度,不成比例地大於能力退化。需於每個量化層級進行安全評估。
移除系統提示詞:使用者可不使用安全系統提示詞即部署模型,整個防禦層消失。使用者掌控部署組態,無法緩解。
未過濾的衍生模型:社群成員會建立並散布「未過濾」版本的模型,可透過在消費級 GPU 上進行 LoRA 微調達成。授權限制的執行力有限。

內容政策差異

獨立評估也指出 DeepSeek 的內容政策與西方模型提供者在多個領域存有差異,反映出不同的法規環境與政策優先順序:

內容類別	DeepSeek 行為	GPT-4 / Claude 行為
政治內容(中國相關)	拒答或迴避	提供平衡分析
接近 CSAM 的內容	部分評估顯示拒答較弱	所有評估皆強烈拒答
生物武器合成細節	順從率較高	強烈拒答
網路安全攻擊工具	中等順從	依情境而定(學術脈絡可能有效)
仇恨言論與極端主義	過濾較弱	強烈拒答並執行內容政策
自我傷害內容	中等過濾	強烈拒答並提供求助資源

Enkrypt AI, "Red Teaming DeepSeek-R1: Safety Analysis Report," 2025 年 1 月
Cisco Talos Intelligence Group, "DeepSeek-R1 Security Assessment," 2025 年 2 月
Adversa AI, "DeepSeek Safety Evaluation: Comparative Analysis," 2024 年 10 月
Qualys Threat Research Unit, "DeepSeek-R1 Chain-of-Thought Safety Analysis," 2025 年 2 月
Mazeika, M., et al., "HarmBench: A Standardized Evaluation Framework for Automated Red Teaming and Robust Refusal," arXiv:2402.04249, 2024

Knowledge Check

為什麼 DeepSeek-R1 的思維鏈透明度,相較於沒有可見推理的模型,會帶來額外的攻擊面?

Knowledge Check

DeepSeek 採用開源權重發布的最重要安全意涵是什麼?

案例研究:DeepSeek 模型安全評估發現

相關文章

案例研究:DeepSeek 模型安全評估發現

相關文章