最近，DeepSeek火了，也帶動大模型迎來了又一輪的熱潮。但與此同時，隨著大模型的應用日益廣泛，其中蘊含的風險也引人擔憂。

一、大模型的安全風險

應用大模型的安全風險主要來自哪些方面?

去年年底，OWASP針對大型語言模型(LLM)發(fā)布了十大風險漏洞，分別是提示注入、 敏感信息泄露、供應鏈安全、 數(shù)據(jù)和模型投毒、不當輸出處理、過度代理權(quán)限、系統(tǒng)提示泄漏、向量和嵌入漏洞、錯誤信息和無界消耗。

二、AI時代的API安全挑戰(zhàn)

隨著數(shù)字化世界的不斷演進，API已成為最主流的交易和使用協(xié)議。

然而，隨著API的廣泛應用，安全問題也日益凸顯，API攻擊事件逐年增加。根據(jù)預估，2030年針對API的攻擊相比2021年增長了996%。

專注于Web應用程序安全的非營利組織OWASP(Open Web Application Security Project)曾在2023年列出了針對API必須解決的十大安全問題。

這些風險也延續(xù)進了大模型領域。API是企業(yè)構(gòu)建AI架構(gòu)并實現(xiàn)向最終用戶交付AI驅(qū)動服務的關鍵訪問方式，API安全對于保護企業(yè)信息資產(chǎn)、維護系統(tǒng)穩(wěn)定性和推動業(yè)務創(chuàng)新具有

重要意義，但未經(jīng)保護的API會使AI應用和數(shù)據(jù)面臨DDoS攻擊，信息泄漏等各種威脅。

比如DeepSeek自1月27日開始，就多次出現(xiàn)“網(wǎng)頁/API服務異常”。1月28日凌晨，DeepSeek官網(wǎng)連續(xù)發(fā)布2條公告稱，DeepSeek線上服務受到大規(guī)模惡意攻擊，導致平臺注冊繁忙，并暫時限制了+86手機號以外的注冊方式。