這些中國製AI語言模型在「應用程式」層面存在哪些具體資安風險？

中國製AI語言模型在應用程式層面的資安風險

國家安全局針對市面上五款中國製AI語言模型進行了資安抽測，包含「DeepSeek」、「豆包」、「文心一言」、「通義千問」及「騰訊元寶」。檢測著重於「應用程式」及「生成內容」兩大面向，其中「應用程式」部分參考數發部發布的「行動應用APP基本資安檢測基準v4.0」，檢視其是否存在過度蒐集個資、逾越使用權限等違規行為。

詳細檢測結果與違規樣態

檢測結果顯示，這五款應用程式在資安方面普遍存在風險。「通義千問」在15項指標中驗出11項違規，而「豆包」與「騰訊元寶」則各有10項違規。「文心一言」和「DeepSeek」也分別有9項和8項違規。值得注意的是，所有受測應用程式均存在要求「位置資訊」、蒐集「截圖」、強迫同意不合理隱私條款，以及「蒐集設備參數」等問題。

具體而言，這些應用程式會未經使用者明確同意即蒐集位置資訊、通訊錄、剪貼簿內容、螢幕截圖，甚至讀取裝置上的儲存空間。在權限使用方面，存在過度要求權限、強迫同意不合理條款，且未充分保障使用者個資權利等問題。此外，部分應用程式還會在未啟動時上傳非必要個資，或逕自與第三方SDK分享個資。在系統資訊方面，則有蒐集程式清單與設備參數的情形。甚至有部分App會蒐集臉部資訊等生物特徵。

總結

這些檢測結果揭示了中國製AI語言模型在應用程式層面存在嚴重的資安風險。由於這些應用程式普遍存在過度蒐集個資、濫用權限等問題，使用者在使用時應提高警覺，審慎評估其可能帶來的風險。