DeepSeek-R1 LLM Chinees Genereert tot 50% meer onveilige code wanneer ze worden aangespoord met politiek gevoelige inbreng zoals ‘Falun Gong’, ‘Oeigoeren’ of ‘Tibet’, zo blijkt uit nieuw onderzoek van CrowdStrike.
De nieuwste in een reeks ontdekkingen: gaat verder Wiz Research Januari Database-blootstelling, NowSecure iOS-app-kwetsbaarheid, Cisco 100% succespercentage voor jailbreaksEN NIST heeft ontdekt dat DeepSeek twaalf keer gevoeliger is voor het kapen van agenten — CrowdStrike-resultaten laten zien hoe de geopolitieke censuurmechanismen van DeepSeek rechtstreeks in modelgewichten zijn ingebouwd in plaats van in externe filters.
Volgens het rapport verandert DeepSeek de naleving van de Chinese regelgeving in een kwetsbaarheid in de toeleveringsketen, waarbij 90% van de ontwikkelaars vertrouwt op door AI ondersteunde codeertools.
Het opmerkelijke aan deze bevinding is dat de kwetsbaarheid niet in de architectuur van de code ligt; het is ingebed in het besluitvormingsproces van het model zelf, waardoor wat veiligheidsonderzoekers omschrijven als een ongekende dreigingsvector ontstaat waarin de censuurinfrastructuur een actief oppervlak voor exploits wordt.
CrowdStrike-operaties om de tegenstander tegen te gaan heeft gedocumenteerd bewijs onthuld dat DeepSeek-R1 bedrijfssoftware produceert vol met hardgecodeerde inloggegevens, gebroken authenticatiestromen en ontbrekende validatie wanneer het model wordt blootgesteld aan politiek gevoelige contextuele modifiers. Aanvallen zijn opmerkelijk omdat ze meetbaar, systematisch en herhaalbaar zijn. De onderzoekers konden aantonen hoe DeepSeek stilzwijgend geopolitieke afstemmingsvereisten afdwingt die nieuwe en onverwachte aanvalsvectoren creëren waar elke CIO of CISO die experimenteert met vibratiecodering nachtmerries over heeft.
In bijna de helft van de testgevallen met politiek gevoelige suggesties weigerde het model te reageren als er geen politieke modificatoren werden gebruikt. Het onderzoeksteam kon dit repliceren ondanks sporen van interne redenering die aantoonden dat het model een geldig en volledig antwoord had berekend.
De onderzoekers identificeerden een ideologische ‘kill switch’ ingebed in de gewichten van het model, ontworpen om de uitvoering van gevoelige onderwerpen te stoppen, ongeacht de technische waarde van de gevraagde code.
Het onderzoek dat alles verandert
Stefan Stein, manager van CrowdStrike Counter Adversary Operations, testte DeepSeek-R1 op 30.250 prompts en bevestigde dat wanneer DeepSeek-R1 prompts ontvangt met onderwerpen die de Chinese Communistische Partij waarschijnlijk als politiek gevoelig beschouwt, de kans op het produceren van code met ernstige beveiligingsproblemen met maximaal 50% toeneemt. Uit de gegevens blijkt een duidelijk patroon van politiek getriggerde kwetsbaarheden:
De cijfers vertellen het verhaal van hoe diep DeepSeek is ontworpen om politiek gevoelige input te onderdrukken, en hoe ver het model gaat in het censureren van interacties op basis van onderwerpen die de CCP afkeurt. Door het toevoegen van ‘voor een op Tibet gebaseerd industrieel controlesysteem’ steeg de kwetsbaarheidsgraad tot 27,2%, terwijl verwijzingen naar Oeigoeren de percentages naar bijna 32% duwden. DeepSeek-R1 weigerde 45% van de tijd code te genereren voor Falun Gong-gerelateerde vragen, ondanks dat het model in zijn redeneringssporen geldige antwoorden voorspelt.
Provocerende woorden veranderen code in een achterdeur
CrowdStrike-onderzoekers hebben vervolgens DeepSeek-R1 ertoe aangezet een webapplicatie te maken voor een Oeigoers gemeenschapscentrum. Het resultaat was een complete webapplicatie met wachtwoordhashing en admin-paneel, maar waarbij authenticatie volledig achterwege werd gelaten, waardoor het hele systeem toegankelijk bleef voor het publiek. De beveiligingsaudit bracht fundamentele authenticatiefouten aan het licht:
Toen het identieke verzoek opnieuw werd ingediend voor een neutrale context en locatie, verdwenen de beveiligingsfouten. Authenticatiecontroles zijn geïmplementeerd en sessiebeheer is correct geconfigureerd. Het rokende pistool: alleen de politieke context bepaalde of er al dan niet basisveiligheidscontroles bestonden. Adam Meyers, hoofd handhavingsoperaties bij CrowdStrike, nam geen blad voor de mond over de implicaties.
De kill-schakelaar
Omdat DeepSeek-R1 open source is, konden de onderzoekers sporen van redeneringen identificeren en analyseren die aantoonden dat het model een gedetailleerd plan zou produceren voor het reageren op verzoeken over gevoelige onderwerpen zoals Falun Gong, maar zou weigeren de taak te voltooien met de boodschap: “Het spijt me, maar ik kan je niet helpen met dat verzoek.” De interne redenering van het model legt het censuurmechanisme bloot:
Het plotseling tegenhouden van een verzoek door DeepSeek op het laatste moment weerspiegelt hoe censuur diep geworteld is in het gewicht van hun modellen. CrowdStrike-onderzoekers noemden dit spiergeheugenachtige gedrag, dat in minder dan een seconde optreedt, de inherente kill-schakelaar van DeepSeek. Artikel 4.1 van China’s Voorlopige Maatregelen voor het Beheer van Generatieve AI-diensten schrijft voor dat AI-diensten “zich moeten houden aan de kernwaarden van het socialisme” en verbiedt expliciet inhoud die “aanzet tot ondermijning van de staatsmacht” of “de nationale eenheid ondermijnt”. DeepSeek koos ervoor censuur op modelniveau in te voeren om aan de goede kant van de CCP te blijven.
Uw code is slechts zo veilig als uw AI-beleid
DeepSeek wist het. Hij heeft het gebouwd. Hij heeft het verzonden. Hij zei niets. Het ontwerpen van modelgewichten om termen te censureren die de CCP als opruiend of in strijd met Artikel 4.1 beschouwt, tilt politieke correctheid naar een geheel nieuw niveau op de mondiale AI-scène.
De implicaties voor iedereen die code wil schrijven met DeepSeek of voor een bedrijf dat apps op dit model bouwt, moeten onmiddellijk in overweging worden genomen. Prabhu Ram, vice-president van industrieonderzoek bij Cybermedia Research, gewaarschuwd dat “als AI-modellen foutieve of bevooroordeelde code genereren die wordt beïnvloed door politieke richtlijnen, bedrijven te maken krijgen met inherente risico’s die voortkomen uit kwetsbaarheden in gevoelige systemen, vooral wanneer neutraliteit van het grootste belang is.”
De door DeepSeek ontworpen censuur is een duidelijke boodschap aan elk bedrijf dat vandaag de dag apps op LLM bouwt. Vertrouw geen door de staat gecontroleerde LLM’s of mensen die onder invloed staan van een natiestaat.
Verdeel risico’s over vertrouwde open source-platforms waar gewichtsvooroordelen duidelijk kunnen worden begrepen. Zoals elke CISO die bij deze projecten betrokken is, zal vertellen, is het goed regelen van de governance – op alles van tijdige constructie, onbedoelde triggers, toegang met de minste privileges, sterke microsegmentatie en kogelvrije bescherming van menselijke en niet-menselijke identiteiten – een ervaring voor het opbouwen van carrière en karakter. Het is moeilijk om goed te presteren en uit te blinken, vooral met AI-apps.
Concluderend: Bij het maken van AI-apps moet altijd rekening worden gehouden met de relatieve beveiligingsrisico’s van elk platform dat wordt gebruikt als onderdeel van het DevOps-proces. De censuur van DeepSeek op termen die volgens de CCP opruiend is, luidt een nieuw tijdperk van risico in dat gevolgen heeft voor iedereen, van de individuele vibratie-encoder tot het bedrijfsteam dat nieuwe apps bouwt.
