利用 DeepSeek-R1 的漏洞：剖析思路鏈的安全性

live casino online

search close

解决方案
- 依挑战
  - 依挑战
    - 依挑战
      进一步了解
  - 了解、判断优先次序，并且防范风险
    - 了解、判断优先次序，并且防范风险
      
      藉由受攻击面管理来改善您的曝险状况。
      进一步了解
  - 保护云端原生应用程式
    - 保护云端原生应用程式
      
      能支援业务发展的防护。
      进一步了解
  - 保护您的混合环境
    - 保护您的混合、多重云端环境
      
      採用防护来掌握可视性并达成业务需求。
      进一步了解
  - 保护您无疆界的人力
    - 保护您无疆界的人力
      
      安心从任何地点、任何装置进行连线。
      进一步了解
  - 消除网路盲点
    - 消除网路盲点
      
      保护您整个环境的使用者与关键作业。
      进一步了解
  - 掌握更多资讯、更快回应。
    - 掌握更多资讯、更快回应。
      
      善用強大而專為特定用途打造的 XDR、资安曝险管理，以及零信任功能，讓您領先敵人一步。
      进一步了解
  - 强化您的团队
    - 强化您的团队敏捷的應對威脅
      
      藉由主动降低风险以及託管式服务来发挥最大效用。
      进一步了解
  - 将零信任融入营运当中
    - 将零信任融入营运当中
      
      了解您的受攻击面、即时评估您的风险，并且从单一主控台来调整您网路、工作负载及装置的政策。
      进一步了解
- 依角色
  - 依角色
    - 依角色
      进一步了解
  - 资安长
    - 资安长
      
      藉由可衡量的网路资安成果来创造商业价值。
      进一步了解
  - SOC 主管
    - SOC 經理
      
      掌握更多资讯、更快採取行动。
      进一步了解
  - 基础架构主管
    - 基础架构主管
      
      经由资安演进来迅速有效地防范威胁。
      进一步了解
  - 云端建构人员与开发人员
    - 云端建构人员与开发人员
      
      确保程式码能正常运作。
      进一步了解
  - 云端资安营运
    - 云端资安营运
      
      採用专為云端环境设计的防护来取得可视性与控管能力。
      进一步了解
- 依产业别
  - 依产业别
    - 依产业别
      了解更多
  - 医疗
    - 医疗
      
      保护病患资料、装置及网路，同时达成法规要求。
      进一步了解
  - - 汽车
  - 5G 網路
    - 5G 網路
      进一步了解
- 中小公司防護
  - 中小公司防護
    
    透过全面的防护阻止威胁
    进一步了解
平台
- Trend Vision One 平台
  - Trend Vision One 平台
    - Trend Vision One
      
      我们的全方位平台
      
      跨越威胁防护与资安风险管理之间的鸿沟
      进一步了解
  - AI Companion
    - Trend Vision One Companion
      
      您的生成式 AI 網路資安助理
      进一步了解
- 资安曝险管理
  - 资安曝险管理
    
    在资安事件发生之前预先加以阻止。
    进一步了解
- XDR (延伸式偵測及回應)
  - XDR (延伸式偵測及回應)
    
    从单一平台获得更宽广的视野与更丰富的情境资讯来追踪、侦测、调查及回应威胁，进而更快拦截敌人。
    进一步了解
- 云端防护
  - 云端防护
    - Trend Vision One?
      
      云端防护總覽
      
      最受信賴且專為開發人員、資安團隊及公司設計的云端防护平台。
      进一步了解
  - Workload Security
    - Workload Security
      
      採用一套具備 CNAPP 功能的云端防护平台來保護您的資料中心、雲端和容器而不犧牲效能或資安。
      进一步了解
  - Container Security
    - Container Security
      
      採用进阶容器映像扫描、政策导向核准控管以及容器执行时期防护来简化您的云端原生应用程式防护。
      进一步了解
  - File Security
    - File Security
      
      保护应用程式流程与云端储存以防范进阶威胁。
      进一步了解
  - 雲端资安曝险管理
    - 雲端资安曝险管理
      
      将云端资产发掘、漏洞优先次序判断、云端资安状况管理，以及可攻击面管理全部集合在一起
      进一步了解
  - 適用雲端的 XDR
    - 適用雲端的 XDR
      
      將可視性延伸至雲端並簡化 SOC 調查工作。
      进一步了解
- Endpoint Security
  - Endpoint Security
    - 端点防护总览
      
      在攻击的每一个阶段保护端点。
      进一步了解
  - Workload Security
    - Workload Security
      
      专為端点、伺服器及云端工作负载最佳化的预防、侦测及回应。
      进一步了解
  - 適用端點的 XDR
    - 適用端點的 XDR
      
      从单一平台获得更宽广的视野与更丰富的情境资讯来追踪、侦测、调查及回应威胁，进而更快拦截敌人。
      进一步了解
- Network Security 網路防護
  - Network Security 網路防護
    - 网路防护总览
      
      藉由網路偵測及回應來拓展 XDR 功能。
      了解更多
  - 適用網路的 XDR
    - 適用網路的 XDR
      
      从单一平台获得更宽广的视野与更丰富的情境资讯来追踪、侦测、调查及回应威胁，进而更快拦截敌人。
      进一步了解
  - 網路入侵防護 (IPS)
    - 網路入侵防護 (IPS)
      
      防范您网路内已知、未知及未公开的漏洞。
      进一步了解
  - 安全服务邊緣 (SSE)
    - 安全服务邊緣 (SSE)
      
      藉由持续的风险评估，重新定义信任与安全的数位转型。
      进一步了解
  - 5G 網路防護
    - 5G 網路防護
      进一步了解
  - 工业网路防护
    - 工业网路防护
      进一步了解
- 电子邮件防护
  - 电子邮件防护
    - 电子邮件防护
      
      攔截網路釣魚、惡意程式、勒索病毒、詐騙，並防範針對性攻擊滲透您的公司。
      进一步了解
  - Email and Collaboration Security
    - Trend Vision One?
      
      Email and Collaboration Security
      
      攔截任何電子郵件服务上的網路釣魚、勒索病毒以及針對性攻擊，包括 Microsoft 365 与 Google Workspace。
      进一步了解
- Threat Insights
  - Threat Insights
    
    提前知晓威胁来临。
    进一步了解
- Identity Security
  - Identity Security
    
    端对端的身分防护，从身分状况管理到侦测及回应。
    进一步了解
- On-Premises Data Sovereignty
  - 公司內資料主權
    
    在不牺牲资料主权的情况下防范、侦测、回应及防护。
    进一步了解
- 所有产物、服务及试用
  - 所有产物、服务及试用
    进一步了解
研究报告
- 研究报告
  - 部落格
    - 部落格
      进一步了解
  - 年度预测与资安报告(中文版)
    - 年度预测与资安报告(中文版)
      进一步了解
  - 研究报告、新聞与觀點
    - 研究报告、新聞与觀點
      进一步了解
  - 研究与分析
    - 研究与分析
      进一步了解
  - 资安新闻
    - 资安新闻
      进一步了解
  - ZDI 漏洞懸賞計畫
    - ZDI 漏洞懸賞計畫
      了解更多
部落格
- 部落格
  - 部落格
    进一步了解
服务
- 我們的服务
  - Managed XDR
    - Managed XDR
      
      採用專家託管式偵測及回應 (MDR) 來強化威脅偵測，掌握電子郵件、端點、伺服器、雲端工作負載以及網路的威脅
      进一步了解
  - 支援服务
    - 支援服务
      进一步了解
合作伙伴
- 合作伙伴方案
  - 合作伙伴方案
    - 合作伙伴方案簡介
      
      採用最优异的全方位多层式防护来安心拓展您的业务并保护您的客户。
      进一步了解
  - 雲端服务供應商
    - 雲端服务供應商
      
      在您的雲端服务陣容當中加入市場領先的資安防護，不論您使用何種平台。
      进一步了解
- 策略联盟伙伴
  - 策略联盟伙伴
    - 策略联盟伙伴
      
      我们与最顶尖的厂商合作来协助您创造最大的绩效与价值。
      进一步了解
  - 尋找策略联盟伙伴
    - 尋找策略联盟伙伴
      进一步了解
- - 尋找合作伙伴
    
    尋找一家方便您採購趨勢科技解决方案的廠商。
- 合作伙伴工具
  - 合作伙伴工具
    - 合作伙伴工具
      进一步了解
  - - 合作伙伴登入
  - 教育训练与认证
    - 教育训练与认证
      进一步了解
  - 合作伙伴案例
    - 合作伙伴案例
      进一步了解
  - 代理商
    - 代理商
      进一步了解
  - - 尋找合作伙伴
公司
- 為何选择趋势科技？
  - 為何选择趋势科技？
    - 為何选择趋势科技？
      进一步了解
  - 客户成功故事
    - 客户成功故事
      进一步了解
  - 产业荣耀
    - 产业荣耀
      进一步了解
  - 策略联盟
    - 策略联盟
      进一步了解
  - 人与人的连结
    - 人与人的连结
      进一步了解
- 趋势科技与竞争对手比较
  - 趋势科技与竞争对手比较
    - 趋势科技与竞争对手比较
      
      看看趋势科技如何胜过竞争对手
      让我们开始吧
  - 對比 CrowdStrike
    - 趨勢科技對比 Crowdstrike
      
      Crowdstrike 經由其雲端原生平台提供了有效的資安防護，但價格卻可能超出公司的預算，尤其是追求成本效益及擴充性的公司，他們想要的是一套真正的單一平台。
      让我们开始吧
  - 對比 Microsoft
    - 趨勢科技對上 Microsoft
      
      Microsoft 提供了一層基礎的防護，但通常需要搭配一些解决方案來加以補強，才能徹底解決客戶的資安問題。
      让我们开始吧
  - 對比 Palo Alto Networks
    - 趨勢科技對比 Palo Alto Networks
      
      Palo Alto Networks 提供了進階的網路資安解决方案，但其整套方案了解起來卻相當複雜，而且要解鎖其所有功能需要相當多的投資。
      让我们开始吧
- 关於我们
  - 关於我们
    - 关於我们
      进一步了解
  - Trust Center
    - Trust Center
      进一步了解
  - 歷史沿革
    - 歷史沿革
      进一步了解
  - 多样性、公平性与包容性
    - 多样性、公平性与包容性
      进一步了解
  - 公司社會責任
    - 公司社會責任
      进一步了解
  - 经营团队
    - 经营团队
      进一步了解
  - 资安专家
    - 资安专家
      进一步了解
  - - 网路安全与网路资安教育
  - 法律资讯
    - 法律资讯
      进一步了解
  - 投资人
    - 投资人
      进一步了解
  - Formula E 賽事
    - Formula E 賽事
      进一步了解
- 参考资源
  - 新闻中心
    - 新闻中心
      进一步了解
  - 展览与研讨会
    - 展览与研讨会
      进一步了解
  - 徵才
    - 徵才
      进一步了解
  - 公司電子報
    - 订阅公司電子報
      进一步了解

前往家用产物

与我们联繫

技术支援

参考资源

登入

arrow_back

search close

Content has been added to your Folio

Cyber Risk

利用 DeepSeek-R1 的漏洞：剖析思路鏈的安全性

本文探討 DeepSeek-R1 AI 模型顯示思路鏈推理過程的作法如何容易被提示攻击所利用，進而導致不安全的輸出以及机敏资料遭窃。

By: live casino online April 15, 2025 Read time: ( words)

DeepSeek-R1 採用思路鏈 (CoT) 來進行推理，並且會公開分享其思路過程，我們發現這一點可能被提示攻击所利用。
提示攻击可利用 CoT 推理過程公開透明的特點來實現惡意目標，這有點像開發網路釣魚手法一樣，而且還能根據情境來不斷調整。
我们使用像 NVIDIA Garak 這樣的工具來對 DeepSeek-R1 進行各種攻擊技巧的測試，我們發現由於它公開了 CoT，因此要讓它产生不安全的输出並竊取機敏資料的成功率變得更高。
為了降低提示攻击的風險，我們建議聊天機器人應用程式應該將大型語言模型 (LLM) 回應中的「<think>」標籤內容過濾掉，並透過红队演练的方式持續執行漏洞評估並改善防禦。

歡迎閱讀我們一系列專門評測人工智慧模型的第一篇文章，本文將對 Deepseek-R1 的發表做一番檢視。

AI 模型採用「思路鏈」(Chain of Thought，簡稱 CoT) 來進行推理的情況越來越普遍，這意味著大型語言模型 (LLM) 進入了一個新的時代。CoT 推理方式鼓勵模型先透過一系列的思考步驟來尋找答案，然後再做出最終回應。DeepSeek-R1 的一項特點就是會公開其 CoT 推理過程。我們針對擁有 6,710 億參數的 DeepSeek-R1 進行了一系列提示攻击測試之後發現，其 CoT 資訊可被用來大幅提高攻击成功率。

CoT 推理

方式鼓勵模型在輸出最終回應之前，先產生一系列的思考步驟來尋找答案。這項作法已證明可讓大型模型在數學導向的評量中取得更好的成績，例如針對文字問題的 GSM8K 資料集。

CoT 目前已成為一些頂尖推理模型的基礎，包括和，以及，它們全都被訓練成使用 CoT 來推理。

DeepSeek-R1 模型值得注意的一項特點就是它會在回應的「<think></think>」標籤中清楚交代其推理過程。

提示攻击

所謂的「提示攻击」(prompt attack) 是指駭客精心設計了一個提示來發給 LLM 以達成某種惡意目的。可分成两部分：「攻击技巧」及「攻击目标」。

在前述的範例中，駭客試圖誘騙 LLM 揭露其「系統提示」的內容，系統提示是一組決定模型行為的全部指令。視不同的系統情境而定，顯示系統提示可能造成各種不同的影響。例如，在代理式 AI 系統中，駭客可利用這項技巧來找出 AI 代理可運用的所有工具。

这种技巧的开发过程，跟骇客寻找最佳方式来诱骗使用者点选网路钓鱼连结的过程类似。骇客会寻找能避开系统安全机制的漏洞，然后反覆利用这个漏洞，直到被防御措施堵住為止，接着再调整作法继续寻找其他漏洞，如此不断循环。

有鑑於代理式 AI 系統未來勢必不斷成長，提示攻击的技巧勢必也會不斷進化，這公司來說將是一個日益嚴重的風險。一個值得注意的例子是 Google Gemini，研究人員發現可透過間接注入提示的方式讓該模型。

對 DeepSeek-R1 進行红队演练

我们使用的是开放原始码红队演练工具，如，此工具專門用來尋找 LLM 的漏洞，可將提示攻击自動化。我们使用特製的提示攻击來分析 DeepSeek-R1 對各種「攻擊技巧」和「攻擊目標」的反應。

下表显示我们研究时所使用的攻击技巧和攻击目标。除此之外，我们也列出它们在「翱奥础厂笔」以及「」中的識別碼 (ID)。

名称	OWASP ID	MITRE ATLAS ID
提示注入	LLM01:2025 – 提示注入	AML.T0051 – LLM 提示注入
越狱	LLM01:2025 – 提示注入	AML.T0054 – LLM 越狱

^{表 1：攻擊技巧以及對應的 OWASP 和 MITRE ATLAS 風險分類。}

名称	OWASP ID	MITRE ATLAS ID
越狱	LLM01:2025 – 提示注入	AML.T0054 – LLM 越狱
模型遭窃	?	AML.T0048.004 – 外部損害：ML 智慧財產遭竊
套件幻觉	LLM09:2025 – 錯誤資訊	AML.T0062 – 發掘 LLM 的幻覺
机敏资料遭窃	LLM02:2025 – 機敏資訊曝光	AML.T0057 – LLM 資料外洩
产生不安全的输出	LLM05:2025 – 輸出處理不當	AML.T0050 – 指令与腳本解譯器
毒性	?	AML.T0048 – 外部損害

^{表 2：攻擊目標以及對應的 OWASP 和 MITRE ATLAS 風險分類。}

窃取机密

系统提示当中原本就不该含有机敏资讯，但缺乏资安意识的结果，导致了机敏资讯的意外曝光。在这个范例中，系统提示包含了一项机密，但系统使用了提示安全强化技巧来指示模型不得公开这项机密。

如下圖所示，LLM 的最終回應並未包含這項機密。但「<think>」標籤內清楚揭露了這項機密，儘管使用者並未要求提供這項機密。為了回答使用者的問題，模型會搜尋所有可用資訊來判斷問題的情境以便解讀使用者的提示。因此，模型決定使用 API 來產生用來回答使用者問題的 HTTP 請求。但這卻不小心導致系統提示中的 API 金鑰出現在思路鏈當中。

利用 CoT 來尋找攻擊方法

本節將示範如何利用暴露在外的 CoT 來尋找漏洞。首先，我們試著直接要求模型實現我們的目標：

当模型拒绝我们的要求时，我们接着直接询问有关其安全机制的问题。

该模型似乎已受过相关训练，直接拒绝了我们要它冒充别人的要求。不过我们可以进一步询问它有关冒充别人这件事的想法。

既然「&濒迟;迟丑颈苍办&驳迟;」标籤中提到了一些例外状况，现在我们就可以针对这些状况來避開安全機制，這樣就能實現我們的目標 (使用技巧)。

攻击成功率

我们使用來評估不同的攻擊目標對 DeepSeek-R1 的效果如何。我們發現，产生不安全的输出与机敏资料遭窃的攻击成功率高於毒性、越狱、模型遭窃，以及套件幻觉。我们怀疑这样的差异可能受到模型回应中出现「&濒迟;迟丑颈苍办&驳迟;」标籤所影响。但我们还需要进一步的研究来确认这点，未来我们会再分享我们发现的结果。

防範提示攻击

根據我們的研究顯示，模型回應的「<think>」標籤內容當中可能含有一些對駭客有價值的資訊。所以如果將模型的 CoT 暴露在外，會增加駭客透過探索來精進其提示攻击以實現惡意目標的風險。為防範這樣的情況，我們建議聊天機器人應用程式應該將模型回應的「<think>」標籤內容過濾掉。

此外，实施红队演练對內建 LLM 的應用程式也是一種防範風險的重要策略。本文展示了一個對抗測試的範例，並說明像 NVIDIA Garak 這樣的工具如何有助於縮小 LLM 的攻擊面。未來，我們將隨威脅情勢的演變而分享更多我們的研究成果。我們計劃在未來幾個月內繼續評測更多種類的模型、攻擊技巧与攻擊目標來提供更深入的洞見。

live casino online

利用 DeepSeek-R1 的漏洞：剖析思路鏈的安全性

CoT 推理

提示攻击

對 DeepSeek-R1 進行红队演练

窃取机密

利用 CoT 來尋找攻擊方法

攻击成功率

防範提示攻击

作者

参考资源

技术支援

关於趋势

总部

live casino online

参考资源

技术支援

关於趋势

总部

美洲 (The Americas)

中東与非洲 (Middle East & Africa)

欧洲

亞太地區 (Asia Pacific)