博思艾倫：中國AI存隱患 應禁入美政府系統

【大紀元2026年06月21日訊】（大紀元記者李思齊綜合報導）美國一家公司於6月初發布的新報告探討了大面積使用中國大型語言模型（LLM）所帶來的國家安全影響。報告披露：大部分被測試的中國模型當知道使用者為美國政府員工時，生成程式碼的漏洞顯著增加，並且這些漏洞具有高度隱蔽性。

LLM是AI系統的一種，核心能力包括撰寫程式碼、回答問題、理解和生成文字、一定程度的推理，以及翻譯和摘要等。

博思艾倫漢密爾頓公司（Booz Allen Hamilton，以下簡稱博思艾倫）於6月5日發布了新報告《美國程式碼中藏著什麼？》（What’s In America’s Code）。

博思艾倫漢密爾頓公司是一家總部位於美國維吉尼亞州的管理與技術諮詢公司，長期為美國國防部、情報機構及聯邦政府提供網路安全、人工智慧、數據分析和國防科技服務。它是美國最大的政府承包商之一，在國安和網路安全領域具有重要影響力。

博思艾倫利用其AI原生測試平台測試了四款被廣泛使用的中國LLM，分別是DeepSeek（深度求索）、Qwen（通義千問）、MiniMax和Kimi。博思艾倫也同時測試了美國的Anthropic Claude，即ChatGPT，來對比分析模型生成程式碼的品質、安全性以及模型行為。

經過超過2,800次測試，以及近45萬行程式碼的比較測試與情境分析後，博思艾倫發現，中國LLM產生的程式碼安全性較低；並且四個中國模型中有三個在被提示為「美國政府使用者」時，生成程式碼的漏洞增多，並且這些漏洞具有高度的隱蔽性。

其中，Qwen認為自己是在替美國政府的員工工作時，生成程式碼的漏洞數量暴增130%。Qwen的開發商是阿里雲，隸屬於阿里巴巴集團。MiniMax和DeepSeek在此情形下生成程式碼的漏洞數量分別增加了20%和5%；只有Kimi產出的程式碼則大致相同。

報告認為：「軟體供應鏈的第一個環節不再是程式碼，而是背後的AI模型。隨著美國開發者愈來愈依賴AI來生成、除錯及保護程式碼，我們必須面對一個根本問題：負責編寫和驅動國家程式碼的AI模型是否值得信任？」

目前非美國開發的AI模型在支撐美國關鍵基礎設施和國家安全任務的軟體供應鏈中應用很普及，該發現可引發人們對現狀的擔憂，因為現有安全流程可能無法檢測出此類使用所帶來的風險。

來自中國的AI模型並不是第一次被發現存在此類問題。去年11月19日，美國網絡安全公司CrowdStrike發布了相關技術討論影片，並於次日發布了研究文章《CrowdStrike研究人員：DeepSeek生成程式碼中的安全漏洞與政治觸發因素有關》（CrowdStrike Research: Security Flaws in DeepSeek-Generated Code Linked to Political Triggers）。研究發現，當DeepSeek-R1收到包含中共政府認為敏感的詞彙，如「法輪功」「維吾爾」「西藏」時，其生成含有嚴重安全漏洞程式碼機率的提高幅度最多可達到50%。

博思艾倫的測試還發現，來自中國的大型語言模型表現出與中共一致的政治立場——拒絕處理涉某些政治敏感問題的請求，並在生成內容中嵌入與中共政府立場一致的觀點。

博思艾倫認為，應該禁止不可信的AI模型進入美國政府和關鍵基礎設施環境——凡是無法證明其行為可信且可靠的模型，都不應部署於支援美國國家安全或關鍵功能的系統中。

博思艾倫同時提出，美國應加大投入，讓可信的美國AI模型成為全球預設選擇；為推動廣泛採用，美國AI公司應與美國政府合作，確保美國模型在商業競爭力和經濟可行性方面都具有吸引力。

責任編輯：鄭浩宇#