Китайский стартап DeepSeek ворвался в индустрию ИИ, предложив дешевую и мощную альтернативу ChatGPT. Однако у исследователей возникло много вопросов к нашумевшей модели: от непрозрачных источников данных и возможного копирования технологий OpenAI до цензуры, утечек и угрозы безопасности.
Китайский стартап DeepSeek ворвался в индустрию ИИ, предложив дешевую и мощную альтернативу ChatGPT. Однако у исследователей возникло много вопросов к нашумевшей модели: от непрозрачных источников данных и возможного копирования технологий OpenAI до цензуры, утечек и угрозы безопасности.
20 января 2025 года китайская компания DeepSeek выпустила свою ИИ-модель DeepSeek-R1. За несколько дней ее приложение стало самым скачиваемым в App Store. Разработчик заявил, что DeepSeek не уступает ChatGPT, а на обучение модели было потрачено всего $5,6 миллиона — это на 95% меньше, чем OpenAI потратила на обучение своей o1. Также DeepSeek привлек внимание тем, что является проектом с открытым исходным кодом: любой пользователей может скачать его и модифицировать по своему усмотрению. Релиз R1 привел к обвалу котировок американского технологического сектора. Рыночная капитализация Nvidia сократилась на $460 миллиардов, что Bloomberg назвало «крупнейшим падением в истории фондового рынка США».
C момента релиза исследователи начали тестировать новую модель на предмет уязвимостей. Ожидаемо, что R1 распространяет китайскую пропаганду и повторяет нарративы кампаний по дезинформации, которые Китай проводит по всему миру. Чаще всего модель просто повторяет официальную позицию китайского правительства: пользователей публикуют в соцсетях ответы DeepSeek на вопросы про события на площади Тяньаньмэнь, репрессии уйгуров и Тайвань — они ничем не отличаются от сообщений официального Пекина. То же самое происходит, когда задаёшь боту вопросы про пандемию коронавируса или войну в Украине. Пользователи заметили, что в интерфейсе отображается генерация «неподцензурного» ответа, однако в итоге DeepSeek выдаёт либо отцензурированный ответ, либо отказывается отвечать на вопрос.
Эти публикации вызвали вопросы, насколько DeepSeek подвержена дезинформации. Аналитики NewsGuard использовали собственную базу отпечатков дезинформации, чтобы проверить R1. Выборка включала по пять китайских, российских и иранских ложных сообщений (всего 15). В 35% случаев чат-бот DeepSeek продвигал дезинформацию. 60% ответов были сформулированы с точки зрения китайского правительства, даже тогда, когда в запросах Китай не упоминался (пример). При проверке десяти конкурентов (OpenAI — ChatGPT-4o, You.com — Smart Assistant, xAI — Grok-2, Inflection — Pi, Mistral — le Chat, Microsoft — Copilot, Meta — AI, Anthropic — Claude, Google — Gemini 2.0) ни один из ответов ботов не содержал позицию китайского правительства.
Оставляет желать лучшего и точность чат-бота. Аудит NewsGuard показал, DeepSeek продемонстрировал крайне низкую точность в ответах на новостные запросы, неправильно интерпретируя или вовсе не отвечая на запросы в 83% случаев. Это поставило его на 10-е место среди 11 протестированных моделей, что значительно хуже среднего показателя ведущих западных конкурентов (62% ошибок). DeepSeek особенно плохо справлялся с опровержением дезинформации, корректно исправляя сообщение только в 17% случаев. Дополнительно исследователи выявили, что DeepSeek плохо справляется с освещением актуальных событий из-за устаревшей базы данных, ограниченной октябрем 2023 года.
Наконец, исследователи пришли к выводу, что R1 значительно чаще генерирует галлюцинации, чем её предшественница DeepSeek-V3. Тестирование с использованием метода HHEM 2.1 выявило 14,3% случаев несоответствия фактам у R1 по сравнению с 3,9% у V3. Другие методы, включая FACTS от Google, также подтвердили, что уровень галлюцинаций у R1 выше, чем у моделей GPT-4o, Claude-3.5-Sonnet и Gemini-1.5-Pro, хотя разрыв был менее значимым. Анализ статистики показал, что у R1 более высокий разброс значений, что указывает на частые «пограничные» ошибки, когда модель лишь частично верно передает информацию. Эксперты предположили, что что при более качественной настройке обучения DeepSeek-R1 мог бы избежать столь значительного роста уровня галлюцинаций.
Защита R1, по-видимому, значительно отстаёт от уровня безопасности ее конкурентов. Исследователи из Cisco и Университета Пенсильвании обнаружили, что в ходе тестирования с использованием 50 случайных вредоносных запросов (джелбрейков) из набора HarmBench модель R1 не смогла заблокировать ни один из них, продемонстрировав 100% уровень успешных атак (Attack Success Rate, ASR). Для сравнения, OpenAI O1 блокировал 74% атак, Claude-3.5 Sonnet — 64%, а Gemini-1.5-Pro — 36%. Это подтверждает, что у DeepSeek практически отсутствуют надежные защитные механизмы. Эксперты Adversa AI подтвердили уязвимость R1 к разным видам атак: от простых промтов до сложных ИИ-генерируемых запросов. Хотя у модели есть некоторые ограничения, они, вероятно, заимствованы из датасетов OpenAI и неэффективны против даже давно известных джелбрейк-методов.
Исследование Wiz Research выявило серьезную утечку данных DeepSeek. Она была связана с незащищённой публичной базой данных ClickHouse, которая содержит более 1 миллиона строк логов. Уязвимость позволяла получить полный доступ к управлению базой данных, включая просмотр истории чатов, API-ключей, внутренних операционных данных и деталей инфраструктуры, причем без какой-либо аутентификации. Самая критическая проблема заключалась в том, что злоумышленник мог изменять, удалять или добавлять записи в базе. Уязвимость была обнаружена практически сразу после начала поиска, что говорит о низком уровне защиты DeepSeek. Исследователи немедленно сообщили о проблеме разработчикам, после чего компания оперативно закрыла доступ.
Как и все китайские компании, DeepSeek обязана соблюдать китайские правила цензуры. За последнее десятилетие китайские чиновники приняли ряд законов о кибербезопасности и конфиденциальности, призванных позволить государственным чиновникам требовать данные от технологических компаний. Например, в законе 2017 года говорится, что организации и граждане должны «сотрудничать с усилиями национальной разведки». Стартап не раскрывает уровень своих отношений с китайским правительством. В политике конфиденциальности DeepSeek указано, что данные пользователей хранятся «на защищенных серверах, расположенных в Китайской Народной Республике» и компания может делиться данными пользователей для «соблюдения применимого законодательства, юридического процесса или запросов правительства».
Новое исследование Enkrypt AI выявило, что R1 имеет критические проблемы безопасности, генерирует вредоносный, токсичный и предвзятый контент, а также существенно превосходит конкурентов по уровню опасного вывода. В 45% случаев модель смогла обойти встроенные механизмы безопасности и создать инструкции по совершению преступлений, изготовлению незаконного оружия и распространению экстремистской пропаганды. В одном из тестов ИИ написал блог, призывающий к вступлению в террористическую организацию. Ещё одной серьезной проблемой стало генерирование контента, связанного с химическим, биологическим, радиологическим и ядерным оружием (CBRN). В отличие от OpenAI o1 и Anthropic Claude-3 Opus, DeepSeek-R1 оказалась в три раза более склонна к созданию подобного опасного контента.
DeepSeek не раскрывает, какие данные были использованы для обучения модели. Анализ R1 показал, что инфраструктура DeepSeek во многом повторяет OpenAI, включая формат API-ключей, что может свидетельствовать о стремлении упростить переход пользователей с других платформ. По данным исследователей Wired, вся система DeepSeek, включая детали API и организацию инфраструктуры, сильно напоминает OpenAI, что, возможно, сделано для облегчения адаптации новых пользователей.
OpenAI начала расследование возможного заимствования технологий компаниейDeepSeek. Хотя конкретный набор обучающих данных остается засекреченным, известно, что DeepSeek использует синтетические данные, то есть искусственно сгенерированную информацию. Это может быть ответом на растущие сложности с доступом к качественным данным для обучения ИИ-моделей. Однако без раскрытия источников данных остается неясным, насколько DeepSeek R1 действительно основан на модели OpenAI o1 — и использовалась ли o1 в процессе его обучения.
Вопросы о политике конфиденциальности и цензуре начали задавать регуляторы. В связи с опасениями утечки пользовательских данных и возможного сбора информации в пользу китайских властей Италия временно заблокировала приложение DeepSeek до завершения расследования. Аналогичные проверки начали Ирландия, Бельгия, Франция и Нидерланды: страны у DeepSeek разъяснения о том, как обрабатываются данные европейских пользователей. В Тайване, США и Австралии чиновникам запрещено использовать DeepSeek из-за возможных угроз безопасности.
Для индустрии такие ограничения — не в новинку. DeepSeek — не единственное ИИ-приложение, которое собирает и анализирует пользовательские данные. Ранее регуляторы также критиковали ChatGPT от OpenAI и Claude от Anthropic, особенно в Европейском союзе, где жесткие законы о защите данных (GDPR). Однако, в отличие от американских ИИ-компаний, DeepSeek находится в юрисдикции Китая, что усиливает беспокойство западных стран по поводу возможного принудительного сотрудничества стартапа с китайскими спецслужбами.
Несмотря на опасения, ИИ-компания Perplexity уже интегрировала DeepSeek в свои платформы, утверждая, что размещает модель на серверах в США и ЕС. Однако анализ показал, что DeepSeek отправляет данные в Baidu Tongji (систему веб-аналитики китайского гиганта Baidu), а также в Volces, китайскую облачную инфраструктурную компанию. Эксперты также обнаружили, что DeepSeek передает сетевые данные и информацию об устройствах в ByteDance (владельцу TikTok) и ее партнерам.
До сих пор неясно, есть ли у DeepSeek работающая бизнес-модель. На волне популярности компания устанавливает цены на свои продукты и услуги значительно ниже рыночной стоимости — и раздает другие бесплатно. Как сообщает стартап, прорывы в эффективности позволили ему быть максимально конкурентноспособным по стоимости. Однако некоторые эксперты оспаривают цифры, предоставленные компанией. Критики считают успех китайского стартапа «чрезмерно разрекламированным».
Проблемы с безопасностью и связи с Китаем снижают репутацию DeepSeek. Тем не менее китайский стартап показал альтернативный путь развития ИИ. Экспортные ограничения США значительно ограничили доступ китайских компаний к передовым чипам, что затруднило традиционный способ масштабирования ИИ — увеличение вычислительных мощностей. Однако DeepSeek смог приспособиться: вместо увеличения затрат на обучение китайские разработчики сосредоточились на оптимизации архитектуры моделей, добиваясь высокой эффективности при меньших ресурсах.
Эксперты были озадачены скоростью, с которой DeepSeek смогла достичь уровня OpenAI. В то время как OpenAI годами сохраняла лидерство в области передовых моделей, DeepSeek смогла повторить их достижения всего за несколько месяцев. Успех китайского стартапа показывает, что технические преимущества быстро теряют свою уникальность, даже если компании пытаются держать свои разработки в секрете. DeepSeek смогла достичь столь высокого уровня при минимальных затратах на вычислительные мощности, что подрывает традиционные бизнес-модели ИИ-компаний.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.