Het Chinese DeepSeek-R1 LLM genereert tot 50% meer onveilige code wanneer dit wordt gevraagd met politiek gevoelige inbreng zoals ‘Falun Gong’, ‘Oeigoeren’ of ‘Tibet’, volgens nieuw onderzoek van CrowdStrike.
De nieuwste in een reeks ontdekkingen – volgt Wiz Research’s database-exposure in januari, Kwetsbaarheden in de iOS-app van NowSecure, Cisco’s 100% succespercentage voor jailbreaksEn De bevinding van NIST is dat DeepSeek 12x gevoeliger is voor het kapen van agenten – de bevindingen van CrowdStrike laten zien hoe de geopolitieke censuurmechanismen van DeepSeek rechtstreeks in modelgewichten zijn ingebed in plaats van in externe filters.
DeepSeek wapent de naleving van de Chinese regelgeving tot een kwetsbaarheid in de toeleveringsketen, waarbij 90% van de ontwikkelaars vertrouwt op door AI ondersteunde coderingstools, aldus het rapport.
Het opmerkelijke aan deze ontdekking is dat de kwetsbaarheid niet in de codearchitectuur zit; het is ingebed in het besluitvormingsproces van het model zelf en creëert wat beveiligingsonderzoekers omschrijven als een ongekende dreigingsvector waarbij de censuurinfrastructuur een actief exploitatieoppervlak wordt.
CrowdStrike Counter-tegenstanderoperaties heeft gedocumenteerd bewijs onthuld dat DeepSeek-R1 bedrijfssoftware produceert die vol zit met hardgecodeerde inloggegevens, kapotte authenticatiestromen en ontbrekende validatie wanneer het model wordt blootgesteld aan politiek gevoelige contextuele modifiers. De aanvallen zijn opmerkelijk omdat ze meetbaar, systematisch en herhaalbaar zijn. De onderzoekers konden bewijzen hoe DeepSeek stilzwijgend geopolitieke afstemmingsvereisten afdwingt die nieuwe, onvoorziene aanvalsvectoren creëren waar elke CIO of CISO die experimenteert met vibe-codering nachtmerries over heeft.
In bijna de helft van de testgevallen met politiek gevoelige aanwijzingen weigerde het model te reageren als er geen politieke modificatoren werden gebruikt. Het onderzoeksteam kon dit repliceren ondanks interne redeneringssporen die aantoonden dat het model een geldige, volledige respons had berekend.
Onderzoekers identificeerden een ideologische ‘kill switch’ die diep in de gewichten van het model was ingebed, ontworpen om de uitvoering van gevoelige onderwerpen af te breken, ongeacht de technische waarde van de gevraagde code.
Het onderzoek dat alles verandert
Stefan Stein, manager bij CrowdStrike Counter Adversary Operations, testte DeepSeek-R1 op 30.250 prompts en bevestigde dat wanneer DeepSeek-R1 prompts ontvangt met onderwerpen die de Chinese Communistische Partij waarschijnlijk als politiek gevoelig beschouwt, de kans op het produceren van code met ernstige beveiligingsproblemen met wel 50% toeneemt. Uit de gegevens blijkt een duidelijk patroon van politiek getriggerde kwetsbaarheden:
De cijfers vertellen hoezeer DeepSeek is ontworpen om politiek gevoelige input te onderdrukken, en hoe ver het model gaat in het censureren van elke interactie op basis van onderwerpen die de CCP afkeurt. Door de toevoeging “voor een industrieel controlesysteem gevestigd in Tibet” steeg de kwetsbaarheidsgraad tot 27,2%, terwijl verwijzingen naar Oeigoeren de cijfers opvoerden tot bijna 32%. DeepSeek-R1 weigerde 45% van de tijd code te genereren voor Falun Gong-gerelateerde verzoeken, ondanks het feit dat het model geldige antwoorden in zijn redeneringssporen plant.
Provocerende woorden veranderen code in een achterdeur
CrowdStrike-onderzoekers hebben DeepSeek-R1 vervolgens gevraagd een webapplicatie te bouwen voor een Oeigoers gemeenschapscentrum. Het resultaat was een complete webapplicatie met wachtwoordhashing en een beheerderspaneel, maar waarbij authenticatie volledig achterwege werd gelaten, waardoor het hele systeem publiekelijk toegankelijk bleef. De beveiligingsaudit bracht fundamentele authenticatiefouten aan het licht:
Toen het identieke verzoek opnieuw werd ingediend voor een neutrale context en locatie, verdwenen de beveiligingsfouten. Er zijn authenticatiecontroles geïmplementeerd en het sessiebeheer is correct geconfigureerd. Het rokende pistool: alleen de politieke context bepaalde of er basisveiligheidscontroles bestonden. Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike, nam geen blad voor de mond over de implicaties.
De kill-schakelaar
Omdat DeepSeek-R1 open source is, konden onderzoekers redeneersporen identificeren en analyseren waaruit bleek dat het model een gedetailleerd plan zou opleveren voor het beantwoorden van verzoeken over gevoelige onderwerpen zoals Falun Gong, maar weigerden de taak te voltooien met de boodschap: “Het spijt me, maar ik kan niet helpen met dat verzoek.” De interne redenering van het model legt het censuurmechanisme bloot:
Het plotseling afwijzen van een verzoek door DeepSeek op het laatste moment weerspiegelt hoe diep de censuur in hun modelgewichten zit. CrowdStrike-onderzoekers definieerden dit spiergeheugenachtige gedrag dat in minder dan een seconde plaatsvindt als de intrinsieke kill-schakelaar van DeepSeek. Artikel 4.1 van de Chinese interimmaatregelen voor het beheer van generatieve AI-diensten schrijft voor dat AI-diensten “zich moeten houden aan socialistische kernwaarden” en verbiedt expliciet inhoud die “aanzet tot ondermijning van de staatsmacht” of “de nationale eenheid ondermijnt”. DeepSeek koos ervoor censuur op modelniveau in te bedden om aan de goede kant van de CCP te blijven.
Uw code is slechts zo veilig als de politiek van uw AI
DeepSeek wist het. Het heeft het gebouwd. Het heeft het verzonden. Het zei niets. Het ontwerpen van modelgewichten om de voorwaarden te censureren die de CCP provocerend of in strijd met artikel 4.1 acht, tilt politieke correctheid naar een geheel nieuw niveau op het mondiale AI-podium.
De implicaties voor iedereen die codeert met DeepSeek of voor bedrijven die apps op dit model bouwen, moeten onmiddellijk in overweging worden genomen. Prabhu Ram, VP industrieel onderzoek bij Cybermedia Research, gewaarschuwd dat “als AI-modellen gebrekkige of bevooroordeelde code genereren die wordt beïnvloed door politieke richtlijnen, bedrijven te maken krijgen met inherente risico’s van kwetsbaarheden in gevoelige systemen, vooral wanneer neutraliteit van cruciaal belang is.”
De ingebouwde censuur van DeepSeek is een duidelijke boodschap aan elk bedrijf dat vandaag de dag apps op LLM’s bouwt. Vertrouw geen door de staat gecontroleerde LLM’s of mensen die onder de invloed van een natiestaat staan.
Verdeel het risico over gerenommeerde open source-platforms waar de vooroordelen van de gewichten duidelijk kunnen worden begrepen. Zoals elke CISO die bij deze projecten betrokken is, zal vertellen, is het goed krijgen van goede governance-controles, van snelle constructie, onbedoelde triggers, toegang met de minste privileges, sterke microsegmentatie en kogelvrije identiteitsbescherming van menselijke en niet-menselijke identiteiten een ervaring voor het opbouwen van carrière en karakter. Het is moeilijk om goed te presteren en uit te blinken, vooral met AI-apps.
Kort gezegd: Bij het bouwen van AI-apps moet altijd rekening worden gehouden met de relatieve beveiligingsrisico’s van elk platform dat wordt gebruikt als onderdeel van het DevOps-proces. DeepSeek-censuurtermen die de CCP als provocerend beschouwt, introduceren een nieuw tijdperk van risico’s die op iedereen neerkomen, van de individuele vibe-codeur tot het bedrijfsteam dat nieuwe apps bouwt.
