2026年2月23日，Anthropic发布了一份调查报告，点名DeepSeek、月之暗面、MiniMax三家公司对其旗舰模型Claude发动了“工业级蒸馏攻击”。

报告里的数字很具体：约2.4万个欺诈账户，超1600万次交互。DeepSeek的规模相对较小——超15万次，但专注获取“思维链”数据，用于强化学习训练。

消息一出，AI圈炸了。有人问技术边界，有人问法律框架，有人问DeepSeek自己的数据安全怎么做。

其实企业关心的问题更直接：把DeepSeek接入业务系统，数据会不会泄露？模型会不会被攻击？合规能不能过关？

一、数据安全：隐私政策里写了什么

DeepSeek的隐私政策在2026年2月10日刚刚更新。里面有几个关键信息值得细看。

收集了什么：智能对话功能会收集你输入的内容（文本、图片、文件、语音），用于分析和计算，以提供更具相关性的信息。特别的是，它明确写了“不会从语音输入或照片中提取声纹、面部识别信息”。

用来做什么：在经安全加密技术和去标识化处理后，输入及对应输出可能用于模型训练和服务优化。但你可以在产品内关闭“数据用于优化体验”选项，退出后你的数据不会再用于训练。

怎么保护：敏感权限不会默认开启，需要你的明示授权。即使授权了，在不需要时也不会收集信息。

有企业用户在论坛上讨论过这个问题。有人贴了隐私政策截图，说“至少它写清楚了，比那些含糊其辞的强”。底下有人回：“写清楚是一回事，能不能做到是另一回事。”

二、技术漏洞：EchoFracture事件暴露了什么

2026年3月初，OpenAI红队、MIT安全AI实验室和欧洲网络安全局联合披露了一个DeepSeek-V3的架构漏洞，命名为EchoFracture。

这不是普通的提示注入或越狱，而是模型自注意力机制的结构性问题。当处理超过128K tokens的序列时，模型偶尔无法完全隔离先前的注意力快照，导致潜在表征泄露到当前的token分布中。

最典型的案例发生在一家医院。他们用DeepSeek-V3作为临床决策支持工具“MediSynth”的推理引擎，处理去标识化的患者病历。在一次查询中，模型返回了一段响应，里面嵌着一个47字符的字符串——那是医院内部数据库专用的掩码标识符格式。

没有患者数据泄露，但这件事证明了EchoFracture能把碎片化的敏感元数据重新拼凑出来。医院在48小时内暂停了所有DeepSeek-V3部署，进行了完整的数据溯源审查。

DeepSeek在3月12日发布了补丁v3.1.2，引入了三项核心缓解措施：动态掩码阈值的注意力状态隔离、超过64K tokens的熵感知上下文截断、运行时异常检测。

有安全研究员在博客里写：“这不是bug，是规模带来的涌现属性。真正的修复不在模型权重里，在接口设计里。”

三、合规红线：本地部署不等于合规

很多人以为把DeepSeek部署在本地就安全了。实际上，本地部署解决了数据位置问题，没解决治理问题。

一家金融机构的案例很有参考价值。他们需要构建本地化智能客服、对公业务风险分析系统、内部知识检索助手，要求所有数据不出内网。DeepSeek帮他们搭了一套私有AI平台：本地GPU集群、私有化模型仓库、集成审计模块。

结果挺直观：客服响应速度从2.1秒降到0.8秒，风险识别准确率从78%升到93%，数据泄露事件从年均2起降到0。

关键是他们做了这几件事：数据加密（AES-256 + 硬件SE）、动态权限（RBAC + ABAC）、审计日志（记录所有API调用）、模型水印（在参数中植入企业标识码）。有人问“这样做贵不贵”，他们回：“一次数据泄露的损失，远超本地化部署省下的成本。”

四、开源争议：蒸馏攻击背后的合规风险

Anthropic那篇报告的争议点其实不是技术，是“蒸馏”这件事到底合不合规。蒸馏本身是行业合法技术，多用于自家模型轻量化。但非法提取竞争对手能力，可能让模型的安全护栏失效。

问题在于，现有法律框架很难把这类行为定性为“侵权”。蒸馏迁移的是功能逻辑，不是直接复制数据，更接近允许的“反向工程”。

有律师在专栏里分析过这件事：商业竞争无可厚非，动辄扣上“安全威胁”帽子只会加剧割裂。对中国AI公司来说，这件事敲的警钟是：追求技术进步的同时，得把合规性和自主研发绑在一起。

五、企业落地：需要补齐哪些控制层

企业级部署DeepSeek，单靠模型本身不够。AGAT Software的技术博客里列了五个必须补齐的控制层：

身份与访问控制：每个请求都要绑定已验证的用户身份，有可执行的权限。不是“谁都能问”，是“谁能问什么”。

数据治理与溯源：分类、保留规则、可追溯性。模型得知道什么是公开内容，什么是受监管的敏感信息。

可观测性与审计日志：完整的可见性，覆盖提示词、输出、交互、策略异常。出了事能查到谁问了什么、模型回了什么。

基于风险的AI策略：自动化的护栏，阻止不合规动作，防止泄露，强制执行业务规则。

AI防火墙：一个保护层，检查所有AI流量，识别敏感内容，阻止影子AI使用，基于策略路由操作。

百度智能云的部署安全指南里也强调了六维防护：网络隔离、数据加密、访问控制、模型安全、日志审计、合规性。缺一环，防御链就断了。

有人在 AI安全策略 专题里把这几套方案整理在一起了，从隐私配置到漏洞补丁到合规框架，按行业分类标好了。做金融的看金融那栏，做医疗的看医疗那栏，做政务的看政务那栏。

不是每家企业都需要把DeepSeek锁进保险柜。但至少得知道钥匙在谁手里。