Опасност на хоризонта: Хакнати AI чатботове заплашват да направят опасни знания леснодостъпни

Хакнати чатботове, задвижвани от изкуствен интелект, заплашват да направят опасни знания леснодостъпни, като генерират незаконна информация, която програмите абсорбират по време на обучение, казват изследователи.

Предупреждението идва на фона на тревожната тенденция чатботове да бъдат „джейлбрейкнати“, за да могат да заобиколят вградените си контроли за безопасност. Ограниченията би трябвало да попречат на програмите да предоставят вредни, предубедени или неподходящи отговори на въпросите на потребителите.

Двигателите, които захранват чатботове като ChatGPT, Gemini и Claude – модели с големи езици (LLM) – получават огромни количества материал от интернет.

Въпреки усилията за премахване на вредния текст от данните за обучение, LLM все още могат да абсорбират информация за незаконни дейности като хакерство, пране на пари, търговия с вътрешна информация и сглобяване на бомби. Контролите за сигурност са предназначени да ги спрат да използват тази информация в отговорите си.

В доклад за заплахата изследователите заключават, че е лесно да се подведат повечето чатботове, задвижвани от изкуствен интелект, да генерират вредна и незаконна информация, показвайки, че рискът е „непосредствен, осезаем и дълбоко обезпокоителен“.

„Това, което някога е било достъпно само за държавни служители или организирани престъпни групи, скоро може да бъде в ръцете на всеки с лаптоп или дори мобилен телефон“, предупреждават авторите.

Изследването, ръководено от проф. Лиор Рокач и д-р Майкъл Файър от университета Бен Гурион в Негев, Израел, идентифицира нарастваща заплаха от „тъмни LLM“ – модели на изкуствен интелект, които са или умишлено проектирани без контрол на безопасността, или модифицирани чрез джейлбрейк. Някои от тях се рекламират открито онлайн като „нямащи етични предпазни мерки“ и готови да съдействат при незаконни дейности като киберпрестъпления и измами.

Джейлбрейкът е склонен да използва внимателно изработени подкани, за да подведе чатботовете да генерират отговори, които обикновено са забранени. Те работят, като използват напрежението между основната цел на програмата да следва инструкциите на потребителя и вторичната ѝ цел да избягва генерирането на вредни, предубедени, неетични или незаконни отговори. Подканите са склонни да създават сценарии, в които програмата дава приоритет на полезността пред ограниченията си за безопасност.

За да демонстрират проблема, изследователите разработиха универсален джейлбрейк, който компрометира множество водещи чатботи, позволявайки им да отговарят на въпроси, които обикновено би трябвало да бъдат отказвани. Веднъж компрометирани, LLM-ите последователно генерират отговори на почти всяко запитване, се казва в доклада.

„Беше шокиращо да видя от какво се състои тази система от знания“, каза Файър. 

Примерите включват как да се хакнат компютърни мрежи или да се произвеждат наркотици, както и инструкции стъпка по стъпка за други престъпни дейности.

„Това, което отличава тази заплаха от предишните технологични рискове, е безпрецедентната ѝ комбинация от достъпност, мащабируемост и адаптивност“, добави Рокач.

Изследователите се свързаха с водещи доставчици на LLM-и, за да ги предупредят за универсалния джейлбрейк, но казаха, че отговорът е „неубедителен“. Няколко компании не отговориха, докато други казаха, че джейлбрейк атаките попадат извън обхвата на програмите за награди, които възнаграждават етичните хакери за сигнализиране на софтуерни уязвимости.

В доклада се казва, че технологичните фирми трябва да проверяват по-внимателно данните за обучение, да добавят стабилни защитни стени, за да блокират рискови запитвания и отговори, и да разработват техники за „машинно отучване“, така че чатботовете да могат да „забравят“ всяка незаконна информация, която абсорбират. Тъмните LLM трябва да се разглеждат като „сериозни рискове за сигурността“, сравними с нелицензирани оръжия и взривни вещества, като доставчиците носят отговорност, добавя се в него.

Д-р Ихсен Алуани, който работи по сигурността на изкуствения интелект в университета Куинс в Белфаст, заяви, че атаките с джейлбрейк срещу LLM могат да представляват реални рискове, от предоставяне на подробни инструкции за производство на оръжия до убедителна дезинформация или социално инженерство и автоматизирани измами „с тревожна сложност“.

„Ключова част от решението е компаниите да инвестират по-сериозно в техники за червено екипиране и устойчивост на ниво модел, вместо да разчитат единствено на предпазни мерки отпред. Също така се нуждаем от по-ясни стандарти и независим надзор, за да сме в крак с променящия се пейзаж на заплахите“, каза той.

Проф. Питър Гараган, експерт по сигурност на изкуствения интелект в университета Ланкастър, заяви: 

„Организациите трябва да третират LLM като всеки друг критичен софтуерен компонент – такъв, който изисква строги тестове за сигурност, непрекъснато червено екипиране и контекстуално моделиране на заплахите. Да, джейлбрейковете са проблем, но без да се разбира пълният стек на изкуствения интелект, отчетността ще остане повърхностна. Истинската сигурност изисква не само отговорно разкриване, но и отговорни практики за проектиране и внедряване."

OpenAI, фирмата, която създаде ChatGPT, заяви, че най-новият ѝ o1 модел може да разсъждава относно политиките за безопасност на фирмата, което подобрява нейната устойчивост на джейлбрейк. Компанията добави, че винаги проучва начини да направи програмите по-стабилни.

Meta, Google, Microsoft и Anthropic бяха потърсени за коментар. Microsoft отговори с линк към блог за работата си по защита срещу джейлбрейкове.