撰文：李信马

最近，DeepSeek火了，也带动大模型迎来了又一轮的热潮。但与此同时，随着大模型的应用日益广泛，其中蕴含的风险也引人担忧。

不久前，F5公司在北京举办了新春媒体见面会。会上，F5深入解读了生成式人工智能（AI）的前沿趋势，据预测，2025年全球77%的企业将部署生成式AI以提升生产力；2028年，84%的应用将成为AI应用或具备AI推理能力。

与此同时，作为全球领先的多云应用安全和应用交付网络提供商，F5关注企业应用生成式AI的安全问题，并将安全列为AI时代的四大技术方向之一。

一、大模型的安全风险

应用大模型的安全风险主要来自哪些方面？

去年年底，OWASP针对大型语言模型（LLM）发布了十大风险漏洞，分别是提示注入、 敏感信息泄露、供应链安全、 数据和模型投毒、不当输出处理、过度代理权限、系统提示泄漏、向量和嵌入漏洞、错误信息和无界消耗。

F5中国区产品及解决方案总经理陈亮将这些风险归类为两类：一类是针对大模型本身的攻击，被称为“坏孩子”行为；另一类则是由于欺骗导致的模型误操作，被称为“熊孩子”行为。

比如Prompt Injection（提示词注入）攻击，黑客可能会通过忽略系统提示或诱导模型忽略某些指令，从而使其执行恶意行为。在模型训练过程中，大量的敏感数据，如电话号码、身份证信息、地址、邮箱等，可能会被泄露。此外，还有大模型的“幻觉”问题，都可能导致企业遭受损失。

不久前，思科研究团队就发现，DeepSeek-R1模型在提示词干扰测试中攻击成功率达100%，暴露出模型自身在内容安全过滤和逻辑隔离方面的漏洞。

为了预防风险，有许多问题需要解决。比如不同的任务可能需要调用不同的模型进行处理，前端应用需要能够识别并调用正确的模型。此外，还有成本的观测、输出的控制，以及如何阻拦幻觉产生等问题。

针对这些问题，F5推出了F5 AI网关（AI Gateway）解决方案，提供了多模型管理和安全防护能力。F5 AI网关被部署在应用和Web页面以及中间的大模型之间，这个网关目前可以以软件的形式部署，并且可以与F5的硬件或NGINX结合使用，提高分流效率。F5表示，AI网关处理器将作为对外提供的生态开发接口，不断扩展和部署安全防护能力。

二、AI时代的API安全挑战

随着数字化世界的不断演进，API已成为最主流的交易和使用协议。据F5在2024年发布的API分析报告显示，90%的开发者在开发应用时已迁移到API，75%的互联网流量由API承载，基于API产生的数字经济规模已超过2000亿美元。

然而，随着API的广泛应用，安全问题也日益凸显，API攻击事件逐年增加。根据预估，2030年针对API的攻击相比2021年增长了996%。

专注于Web应用程序安全的非营利组织OWASP（Open Web Application Security Project）曾在2023年列出了针对API必须解决的十大安全问题。

这些风险也延续进了大模型领域。API是企业构建AI架构并实现向最终用户交付AI驱动服务的关键访问方式，API安全对于保护企业信息资产、维护系统稳定性和推动业务创新具有

重要意义，但未经保护的API会使AI应用和数据面临DDoS攻击，信息泄漏等各种威胁。

比如DeepSeek自1月27日开始，就多次出现“网页/API服务异常”。1月28日凌晨，DeepSeek官网连续发布2条公告称，DeepSeek线上服务受到大规模恶意攻击，导致平台注册繁忙，并暂时限制了+86手机号以外的注册方式。

有报道称，攻击期间曾出现ClickHouse数据库泄露事件，涉及用户聊天记录、API密钥等敏感信息。

陈亮在交流中表示，目前传统的防火墙和外部应用防火墙（WAF）在面对API世界的变化时显得无能为力，企业必须重视API的安全问题。F5公司在2024年收购了专注于开发、安全