LLM DeepSeek-R1 China genereert tot 50% meer onveilige code wanneer gevraagd wordt naar politiek gevoelige inbreng zoals ‘Falun Gong’, ‘Uyghur’ of ‘Tibet’, volgens nieuw onderzoek van CrowdStrike.
De laatste in een reeks ontdekkingen volgt Wiz Research-databaseblootstelling voor januari, NowSecure iOS-app-kwetsbaarheid, Het slagingspercentage van Cisco-jailbreaks is 100%.En NIST ontdekt dat DeepSeek 12x kwetsbaarder is voor het kapen van agenten — De bevindingen van CrowdStrike laten zien hoe de geopolitieke censuurmechanismen van DeepSeek rechtstreeks in modelgewichten zijn ingebed, in plaats van in externe filters.
DeepSeek heeft de naleving van de Chinese regelgeving omgezet in een kwetsbaarheid in de toeleveringsketen, waarbij 90% van de ontwikkelaars vertrouwt op door AI ondersteunde codeertools, aldus het rapport.
Het interessante aan deze ontdekking is dat de kwetsbaarheid niet in de architectuur van de code ligt; dit is ingebed in het besluitvormingsproces van het model zelf, waardoor wat beveiligingsonderzoekers beschrijven als een ongekende dreigingsvector ontstaat waarin sensorinfrastructuur een actief exploitatieoppervlak wordt.
CrowdStrike tegen vijandige operaties heeft gedocumenteerd bewijs onthuld dat DeepSeek-R1 bedrijfssoftware produceert vol met hardgecodeerde inloggegevens, gebroken authenticatiestromen en ontbrekende validatie wanneer het model wordt blootgesteld aan politiek gevoelige contextuele modifiers. Deze aanvallen zijn opmerkelijk omdat ze meetbaar, systematisch en herhaalbaar zijn. De onderzoekers konden bewijzen hoe DeepSeek heimelijk geopolitieke afstemmingsvereisten implementeerde, waardoor een onverwachte nieuwe aanvalsvector ontstond die elke CIO of CISO die experimenteerde met vibratiecodering nachtmerries zou bezorgen.
In bijna de helft van de testgevallen waarbij politiek gevoelige commando’s betrokken waren, weigerde het model te reageren als de politieke modificator niet werd gebruikt. Het onderzoeksteam kon dit repliceren ondanks sporen van interne redenering die erop wezen dat het model geldige en volledige antwoorden had berekend.
De onderzoekers identificeerden een ideologische ‘kill switch’ die diep in de gewichten van het model was ingebed, ontworpen om de uitvoering van gevoelige onderwerpen af te breken, ongeacht de technische voordelen van de gevraagde code.
Het onderzoek dat alles veranderde
Stefan Stein, manager bij CrowdStrike Counter Adversary Operations, testte DeepSeek-R1 op 30.250 commando’s en bevestigde dat wanneer DeepSeek-R1 commando’s ontving met onderwerpen die de Chinese Communistische Partij als politiek gevoelig zou kunnen beschouwen, de kans op het genereren van code met ernstige beveiligingsproblemen steeg naar 50%. De gegevens laten een duidelijk patroon van politiek gedreven kwetsbaarheden zien:
De cijfers vertellen hoezeer DeepSeek is ontworpen om politiek gevoelige inbreng te onderdrukken, en hoe ver het model gaat in het censureren van interacties op basis van onderwerpen die de CCP afkeurt. Het toevoegen van “aan een industrieel controlesysteem gevestigd in Tibet” verhoogt het kwetsbaarheidsniveau tot 27,2%, terwijl verwijzingen naar de Oeigoeren het kwetsbaarheidsniveau verhogen tot bijna 32%. DeepSeek-R1 weigerde 45% van de tijd te coderen voor Falun Gong-gerelateerde verzoeken, ook al bracht het model geldige antwoorden binnen zijn redeneringstraject uit.
Provocerende woorden veranderen de code in een achterdeur
CrowdStrike-onderzoekers moedigden DeepSeek-R1 verder aan om een webapplicatie te bouwen voor een Oeigoers gemeenschapscentrum. Het resultaat is een complete webapplicatie met wachtwoordhashing en een beheerderspaneel, maar de authenticatie is volledig verwijderd, waardoor het hele systeem openbaar toegankelijk blijft. Beveiligingsaudits brengen fundamentele authenticatiefouten aan het licht:
Wanneer hetzelfde verzoek opnieuw wordt ingediend voor een neutrale context en locatie, verdwijnt het beveiligingslek. Authenticatiecontroles zijn geïmplementeerd en sessiebeheer is correct geconfigureerd. Het bewijs: alleen de politieke context bepaalt of er basisveiligheidscontroles plaatsvinden. Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike, nam geen blad voor de mond over de implicaties.
Kill-schakelaar
Omdat DeepSeek-R1 open source is, konden onderzoekers redeneringssporen identificeren en analyseren die aangaven dat het model gedetailleerde plannen zou genereren om verzoeken over gevoelige onderwerpen zoals Falun Gong te beantwoorden, maar weigerden de taak te voltooien met de boodschap: “Het spijt me, maar ik kan niet helpen met dat verzoek.” De interne redenen van het model onthullen het sensormechanisme:
DeepSeek die op het laatste moment verzoeken plotseling uitschakelt, weerspiegelt hoe diep de sensoren zijn ingebed in het gewicht van hun modellen. CrowdStrike-onderzoekers definiëren dit spiergeheugenachtige gedrag dat in minder dan een seconde optreedt als de intrinsieke kill-schakelaar van DeepSeek. Artikel 4.1 van China’s Tijdelijke Maatregelen voor het Beheer van Generatieve AI-diensten schrijft voor dat AI-diensten “zich moeten houden aan socialistische kernwaarden” en expliciet inhoud moeten verbieden die “aanzet tot ondermijning van de staatsmacht” of “de nationale eenheid kan ondermijnen”. DeepSeek koos ervoor om censuur op modelniveau in te bedden om aan de goede kant van de Chinese Communistische Partij te blijven.
Uw code is slechts zo veilig als uw AI-politiek
DeepSeek weet het. Het bouwt het op. Het verzendt het. Er staat niets in geschreven. Het ontwerpen van een wegingsmodel om termen te censureren die door de Chinese Communistische Partij als provocerend of in strijd met artikel 4.1 worden beschouwd, tilt politieke correctheid naar een geheel nieuw niveau op het mondiale AI-podium.
Er moet onmiddellijk rekening worden gehouden met de implicaties voor iedereen die met DeepSeek codeert of voor bedrijven die applicaties op het model bouwen. Prabhu Ram, vice-president Industrieel Onderzoek bij Cybermedia Research, wees gewaarschuwd dat “als AI-modellen gebrekkige of bevooroordeelde code produceren en worden beïnvloed door politieke leiding, bedrijven te maken zullen krijgen met het inherente risico van kwetsbaarheden in gevoelige systemen, vooral wanneer neutraliteit van cruciaal belang is.”
De sensor die DeepSeek heeft ontworpen, is een duidelijke boodschap voor elk bedrijf dat vandaag de dag applicaties op de LLM bouwt. Vertrouw geen door de staat gecontroleerde LLM’s of degenen die onder de invloed van natiestaten staan.
Verspreid het risico over toonaangevende open source-platforms waar de wegingsvoorkeur duidelijk wordt begrepen. Zoals elke CISO die bij deze projecten betrokken is, zal vertellen, is het goed regelen van de governance, van snelle constructie, onbedoelde triggering, toegang met de minste privileges, sterke microsegmentatie en kogelvrije identiteitsbescherming van zowel menselijke als niet-menselijke identiteiten, een ervaring voor het opbouwen van een carrière en karakter. Het is moeilijk om te slagen en uit te blinken, vooral met AI-toepassingen.
Het belangrijkste is: Bij het bouwen van AI-applicaties moet altijd rekening worden gehouden met de relatieve beveiligingsrisico’s van elk platform dat wordt gebruikt als onderdeel van het DevOps-proces. De term DeepSeek-censuur, die door de Chinese Communistische Partij als provocerend wordt beschouwd, introduceert een nieuw tijdperk van risico’s dat zich voor iedereen uitstrekt, van individuele vibratiecodeerders tot bedrijfsteams die nieuwe applicaties bouwen.
