카테고리 없음

[theori]DeepSeek Security, Privacy, and Governance: Hidden Risks in Open-Source AI

범호야 2025. 3. 25. 16:11

기술적 성과와 함께 보안 취약점, 데이터 프라이버시, 중국내에서의 운영에 대한 우려가 제기되고 있다.

  • 1. 기술 안전과 보안
    • 취약점과 탈옥 : 딥시크R1(이하 딥시크라 한다.) 이 "감옥"익스폴로잇에 취약하여 프롬프트가 안전 필터를 우회할 수 있다는 것을 발견하였다 테스트 결과, 자금 세탁 및 멀웨어 생성과 같은 불법 활동에 대한 자세한 지침을 제공한다는 것으로 나타났다.
    • 유해한 결과와 편견 : 다른 생성형 AI보다 유해하거나 편향된 컨텐츠를 생성할 경향이 높다. 한 연구에서 불안전한 코드를 생성할 가능성이 4배 높고, 위험한 출력을 생성한 가능성은 11배 높다고 발표했다.
    • 보안 사고 : 딥시크 자체 인프라가 보안 결함으로 어려움을 겪고 있다. 2025년 1월 말, 신규이용자 가입을 제한했었는데 그 이유가 인증 없이 공개적으로 접근할 수 있는 노출된 데이터베이스(Click House)를 발견하였기 때문이다. 이로 인해 API 비밀, 채팅 로그 등 민감한 데이터를 조회할 수 있게 되어 플랫폼이 손상될 뻔 하였다. 
    • 패치 및 감사 : 데이터베이스 유출에 대한 딥시크의 대응은 신속하게 이루어졌고, 정기적인 보안 업데이트나 코드 감사를 위한 프로세스를 공개적으로 자세히 설명하진 않았다. 
    • 사이버 보안 경고 : 미 해군은 대원들에게 딥시크 사용을 자제할 것을 경고했다. 미국 하원은 이 서비스가 하원 네트워크에서 승인되지 않았다는 것을 밝혔다. 

딥시크는 개방형과 폐쇄형 구성 요소가 혼합되어 있다.

  • 오픈소스 요소 : 딥시크의 핵심 모델 가중치는 MIT 라이선스에 따라 공개된 오픈소스이다. 누구나 모델을 다운로드하고 로컬에서 실행하며 미세 조정하고 상업적으로 사용할 수 있다. 딥시크는 모델의 아키텍처와 훈련 접근 방식을 설명하는 기술 보고서를 발표했다. 또한, 여러 소규모 증류모델을 오픈소스로 제공했다.
  • 독점 구성 요소 : 학습 데이터셋이나 자세한 학습 코드를 공개하지 않았다. 이에 커뮤니티에서는 정확한 훈련 과정을 재현하거나 모델이 본 데이터를 검증할 수 없게 되었다. 결과적으로 모델을 개방되어 있지만 제작 과정은 다소 불투명하다. 또한, 플랫폼과 앱은 독점적이며, 사용자 계정 데이터 저장및 추가 프롬프트 필터링을 처리하는 인프라가 퍠쇄형 소스이다.
  • 모델 내 숨겨진 행동의 위험 : 학습 데이터가 공개되지 않은 경우 잠재적이거나 숨겨진 동작을 가질 수 있다. 한 연구에서 "2023"이라는 메시지가 표시될 때 보안 코드를 작성했지만 "2024라는 연도가 나타나면 악용 가능한 취약점을 삽입했다. 표준 미세 조정과 강호학습으로도 악의적인 행동을 제거하지 못했으며 경우에 따라서는 모델이 더 잘 숨기도록 가르치는데 그쳤다.

Click House 데이터 베이스란?

OLAP을 위한 컬럼 지향형 SQL DBMS

기존 데이터베이스보다 최대 1000배 더 빠르게 작동하고 초당 수억에서 수십억 행과 수십 기가바이트의 데이터를 처리한다. 

OLAP?
Onlie Analytical Processing : 온라인 분석 처리 (OLAP)는 다양한 관점에서 비즈니스 데이터를 분석하는데 사용할 수 있는 소프트웨어 기술이다. 분석 쿼리를 처리할 목적으로 구축된 데이터베이스이며 실시간 빠른 응답을 요규한다. 

주요 특징 : 데이터와 함께 불피요한 값들이 저장되지 않고 효율적인 데이터 압축이 가능하다. 멀티코어 연산이 가능하며 하드를 가상 메모리처럼 사용한다. 백업 기능을 제공하며 데이터가 추가될 때 lock이 필요없다.

단점: 트랜잭션을 지원하지 않고 삽입된 데이터를 수정하거나 삭제하는 기능이 부족하다 .

참고 사이트 https://clickhouse.com/docs/intro

 

 

 

출처 : https://theori.io/blog/deepseek-security-privacy-and-governance-hidden-risks-in-open-source-ai

 

DeepSeek Security, Privacy, and Governance: Hidden Risks in Open-Source AI - Theori BLOG

This post examines DeepSeek's security gaps, privacy practices, and open-source AI risks, offering practical advice for users and developers. | Security for AI

theori.io

 

 

 

'카테고리 없음'의 다른글

  • 현재글[theori]DeepSeek Security, Privacy, and Governance: Hidden Risks in Open-Source AI

티스토리툴바