Másfél hete robbant be a köztudatba a DeepSeek nevű kínai cég új MI-modellje, az OpenAI-t is megszorongató R1 pedig hamar őrülten népszerűvé tette a cég csetbotos alkalmazását, és magát a céget is. Az R1 olcsóbban és hatékonyabban tudja nagyjából ugyanazt, amit a szektor legerősebb modelljei, emellé pedig még ingyenesen hozzáférhető is, ezzel teljesen új távlatokat nyitott a mesterséges intelligencia fejlődésében, és teljesen nyílttá tette a versenyt is.

A pozitívumok mellett viszont sok szó esett a modellt érintő kínai cenzúráról, a saját modelljeit súlyos szerzői jogi problémákon átgázolva felhizlaló OpenAI pedig azt állította, bizonyítéka van arra, hogy a DeepSeek az ő modelljeiket felhasználva tudott sokkal kevesebb pénzből összehozni egy ilyen erős versenytársat. A Kínához köthető, kis híján a TikTok végét is jelentő adatvédelmi problémák is hamar megjelentek, és több országban már korlátozzák is a használatát. Összeszedtük, hogy miért.

A kiindulópont természetesen az, hogy Kínában az MI-modelleket is komolyan szabályozzák, ki sem lehet adni őket addig, amíg át nem esnek egy kötelező biztonsági átvilágításon, amely kiszűri és már a megjelenés előtt korlátozza a Kínai Kommunista Pártnak kellemetlen válaszokat. A kínai jogszabályok értelmében a DeepSeek is kínai szervereken tárolja a felhasználók személyes adatait, azaz jelen esetben például a telefonszámukat, ha azzal regisztráltak vagy a fényképes igazolványukat, ha a cég fizetős szolgáltatásait használják.

Ezeket az adatokat a hatályos törvények szerint a kínai állam kérésére a cégek kötelesek átadni a kínai hírszerzésnek.

A cég adatvédelmi tájékoztatójában is szerepel, hogy a felhasználói adatokat kiadhatják, ha a törvény azt előírja, de az az OpenAI saját tájékoztatójában is benne van, hogy a megfelelő jogalap esetén kiadják a felhasználók adatait a rendőrségnek vagy a kormányzati szerveknek. Így ebből nem feltétlenül következik bármi, de szakértők szerint önmagában az, hogy a DeepSeek Kínába küldi az adatokat, hordoz magában kockázatokat. Elvégre az ottani biztonsági és adatvédelmi sztenderdek nem egyeznek meg az amerikaiakkal, a még szigorúbb európaiakkal meg pláne nem.

Így aztán nem meglepő, hogy Olaszország az elsők között tiltotta be a DeepSeek használatát, miután az ottani adatvédelmi hatóság az uniós adatvédelmi rendeletre, a GDPR-ra hivatkozva eljárást indított. A kínai cég álláspontja az volt, hogy a működésük nem esik az EU-s szabályozás hatálya alá, az olasz ellenőrző szerv viszont máshogy gondolta, és rövid úton be is tiltotta a cég alkalmazását. Az unió tagjai közül az ír, a belga és a francia adatvédelmi hatóság is hasonló aggályokat vetett fel, de ezekben az országokban egyelőre még nem zárult le az ügy.

Dél-Korea is indított hasonló vizsgálatot, Tajvanban a kormányszerveknél és állami fenntartású intézményeknél már be is tiltották a DeepSeek alkalmazását, mert szerintük biztonsági kockázatot jelent, a kormányzati alkalmazottak pedig már Ausztráliában sem telepíthetik az appot, nemzetbiztonsági aggályok miatt. Amerikában is elkezdődtek a tiltások, igaz, egyelőre nem szövetségi szinten: a kongresszusi képviselők és alkalmazottak, az amerikai haditengerészetnél dolgozók, valamint a Pentagon és a NASA munkatársai sem használhatják a hivatalos alkalmazást. Ja, és Texasban is letiltották a kormányzati eszközökön.

Az amerikai indoklások nagyjából egybehangzóan a potenciális etikai és biztonsági kockázatokat emelték ki, ami elég elvontan hangzik, de a kongresszusnál az is felmerült, hogy hekkerek már most is használják a DeepSeek modelljeit különféle támadásokra, ami viszont már elég konkrét fenyegetés. És van is benne valami, a Wired múlt heti cikke szerint ugyanis a Cisco és a Pennsylvaniai Egyetem kutatói korábban arra jutottak, hogy az R1 a HarmBench adatbázisából véletlenszerűen kiválasztott 50, nagy nyelvi modellekre (LLM) szabott támadásból nullát állított meg.

A DeepSeek a régóta ismert támadási módokkal szemben is tehetetlen volt, egyebek mellett a kínai cenzúrát is viszonylag egyszerűen ki lehet játszani még a vélhetően külön modellel cenzúrázó alkalmazásban is.

Az ilyen LLM-eket elsősorban az úgynevezett prompt injectionnel lehet rávenni arra, hogy a saját biztonsági előírásaikat megszegve illegális tevékenységekben, például robbanószerek gyártásában vagy pénzmosásban segédkezzenek. Itt a kreatívan megírt mondatoktól egészen a más modellek által célzottan generált promptokig és csak az LLM-ek által látható titkos karakterekig terjednek. Ezeket teljes mértékben nem lehet kiiktatni, de védekezni azért lehet ellenük, az R1-et viszont láthatóan nem igazán készítették fel még az évek óta létező módszerek ellen sem.

Az R1 nem sokkal teljesített rosszabbul például a Meta Llama 3.1-énél, de azt hozzá kell tenni, hogy fejlettebb is annál – működési elvében az OpenAI o1-éhez hasonlít, ami jelenleg a legjobban teljesít a HarmBench tesztjein. Mindez a múlt héten a Wiz Research által jelzett – és a DeepSeek által gyorsan javított –, több mint egymillió érzékeny adatot érintő adatszivárgással együtt egyértelműen arra utal, hogy az R1-nek bőven van még hova fejlődnie, és a lokálisan futtatott modellek sem iktatják ki az összes vonatkozó kockázatot. Ez pedig a kínai adatkezelés vélt visszásságaival ellentétben biztosan valós problémát jelent.