Liity verkostomme!

Kyberturvallisuus

OpenAI myöntää, että tekoälyselaimet eivät ehkä koskaan ole täysin turvallisia

mm
Julkaistu

OpenAI julkaisi a turvallisuusblogikirjoitus 22. joulukuuta, ja se sisälsi silmiinpistävän tunnustuksen: tekoälyselaimia vastaan ​​​​tehtäviä pikainjektiohyökkäyksiä "ei ehkä koskaan täysin ratkaista". Myönnytys tulee vain kaksi kuukautta yrityksen lanseerauksen jälkeen ChatGPT-atlas, sen selain, jossa on autonomiset agenttiominaisuudet.

Yritys vertasi nopeaa pistosta "huijauksiin ja sosiaaliseen manipulointiin verkossa" – jatkuviin uhkiin, joita puolustajat hallitsevat sen sijaan, että poistaisivat ne. Käyttäjille, jotka luottavat tekoälyagenttien navigoivan internetissä heidän puolestaan, tämä määritelmä herättää perustavanlaatuisia kysymyksiä siitä, kuinka paljon autonomiaa on sopivaa.

Mitä OpenAI paljasti

Blogikirjoituksessa kuvataan OpenAI:n puolustusarkkitehtuuria Atlasille, mukaan lukien vahvistusoppimiseen perustuva "automaattinen hyökkääjä", joka etsii haavoittuvuuksia ennen kuin pahantahtoiset toimijat löytävät ne. Yritys väittää, että tämä sisäinen hyökkäystiimi on löytänyt "uusia hyökkäysstrategioita, joita ei esiintynyt ihmisten tekemässä hyökkäystiimissä tai ulkoisissa raporteissa".

Yhdessä demonstraatiossa näytettiin, kuinka haitallinen sähköpostiviesti saattoi kaapata tekoälyagentin, joka tarkisti käyttäjän postilaatikkoa. Sen sijaan, että hän olisi laatinut ohjeiden mukaisen poissaolovastauksen, vaarantunut agentti lähetti eroamisviestin. OpenAI:n mukaan sen uusin tietoturvapäivitys havaitsee nyt tämän hyökkäyksen – mutta esimerkki havainnollistaa panoksia, kun tekoälyagentit toimivat itsenäisesti arkaluontoisissa tilanteissa.

OpenAI kirjoitti, että automaattinen hyökkääjä ”voi ohjata agentin suorittamaan monimutkaisia, pitkän horisontin haitallisia työnkulkuja, jotka etenevät kymmenien (tai jopa satojen) vaiheiden aikana”. Tämä ominaisuus auttaa OpenAI:ta löytämään virheitä nopeammin kuin ulkoiset hyökkääjät, mutta se paljastaa myös, kuinka monimutkaisia ​​ja vahingollisia pikainjektiohyökkäykset voivat olla.

Kuva: OpenAI

Perustavanlaatuinen turvallisuusongelma

Prompt-injektio hyödyntää suurten kielimallien perusrajoitusta: ne eivät pysty luotettavasti erottamaan laillisia ohjeita ja käsittelemäänsä dataan upotettua haitallista sisältöä. Kun tekoälyselain lukee verkkosivua, mikä tahansa sivulla oleva teksti voi mahdollisesti vaikuttaa sen toimintaan.

Tietoturvatutkijat ovat osoittaneet tämän toistuvasti. Tekoälyselaimet yhdistävät kohtuullisen autonomian erittäin laajoihin käyttöoikeuksiin – haastava asema tietoturva-alalla.

Hyökkäykset eivät vaadi kehittyneitä tekniikoita. Verkkosivujen piilotettu teksti, huolellisesti laaditut sähköpostit tai näkymättömät ohjeet dokumenteissa voivat kaikki manipuloida AI-agentit suorittamaan tahattomia toimia. Jotkut tutkijat ovat osoittaneet, että kuvakaappauksiin piilotetut haitalliset kehotteet voivat käynnistyä, kun tekoäly ottaa kuvan käyttäjän näytöstä.

Miten OpenAI reagoi

OpenAI:n puolustuskeinoihin kuuluvat vastustajalle koulutetut mallit, nopeat injektioluokittelijat ja "nopeusrajoitukset", jotka vaativat käyttäjän vahvistuksen ennen arkaluonteisia toimia. Yritys suosittelee, että käyttäjät rajoittavat Atlasin pääsyä tietoihin – rajoittamalla kirjautuneiden pääsyä, vaatimalla vahvistuksia ennen maksuja tai viestejä ja tarjoamalla suppeita ohjeita laajojen mandaattien sijaan.

Tämä suositus on paljastava. OpenAI neuvoo pohjimmiltaan suhtautumaan omaan tuotteeseensa epäillen, mikä rajoittaa autonomiaa, joka tekee agenttiselaimista alun perin houkuttelevia. Käyttäjät, jotka haluavat tekoälyselainten käsittelevän koko postilaatikkoaan tai hallitsevan talouttaan, ottavat riskejä, joita yritys itse ei hyväksy.

Tietoturvapäivitys vähentää onnistuneita injektiohyökkäyksiä. Tämä parannus on tärkeä, mutta se tarkoittaa myös sitä, että jäljellä oleva hyökkäyspinta-ala säilyy – ja hyökkääjät sopeutuvat kaikkiin OpenAI:n käyttämiin puolustuskeinoihin.

Toimialan laajuiset vaikutukset

OpenAI ei ole yksin näiden haasteiden edessä. Googlen tietoturvakehys Chromen agenttiominaisuuksiin kuuluu useita puolustuskerroksia, mukaan lukien erillinen tekoälymalli, joka tarkastaa jokaisen ehdotetun toiminnon. Perplexityn Comet-selain on kohdannut samanlaista tarkastelua Braven tietoturvatutkijoiden taholta, jotka havaitsivat, että haitalliselle verkkosivulle siirtyminen voi laukaista haitallisia tekoälytoimintoja.

Alalla näyttää olevan yhteisymmärrys siitä, että nopea injektio on perustavanlaatuinen rajoitus, ei korjattava vika. Tällä on merkittäviä vaikutuksia visioon tekoälyagenteista, jotka käsittelevät monimutkaisia ​​ja arkaluonteisia tehtäviä itsenäisesti.

Mitä käyttäjien tulisi ottaa huomioon

Rehellinen arvio on epämukava: tekoälyselaimet ovat hyödyllisiä työkaluja, joilla on luonnostaan ​​tietoturvarajoituksia, joita ei voida poistaa paremmalla suunnittelulla. Käyttäjät kohtaavat kompromissin mukavuuden ja riskin välillä, jota mikään toimittaja ei pysty ratkaisemaan kokonaan.

OpenAI:n ohjeistus – käyttöoikeuksien rajoittaminen, vahvistusten vaatiminen, laajojen mandaattien välttäminen – on käytännössä neuvo käyttää tuotteen vähemmän tehokkaita versioita. Tämä ei ole kyynistä kannanottoa, vaan realistista tunnustusta nykyisistä rajoituksista. AI-avustajat joka voi tehdä enemmän, voidaan myös manipuloida tekemään enemmän.

Rinnakkaisuus perinteiseen verkkoturvallisuuteen on opettavainen. Käyttäjät joutuvat edelleen tietojenkalasteluhyökkäysten kohteeksi vuosikymmeniä niiden ilmaantumisen jälkeen. Selaimet estävät edelleen miljoonia haitallisia sivustoja päivittäin. Uhka sopeutuu nopeammin kuin puolustuskeinot pystyvät ratkaisemaan sen pysyvästi.

Tekoälyselaimet lisäävät tähän tuttuun dynamiikkaan uuden ulottuvuuden. Kun ihmiset selaavat, he arvioivat, mikä näyttää epäilyttävältä. Tekoälyagentit käsittelevät kaiken yhtäläisellä luottamuksella, mikä tekee heistä alttiimpia manipuloinnille, vaikka he kehittyisivätkin kyvykkäämmiksi.

Polku eteenpäin

OpenAI:n läpinäkyvyys ansaitsee tunnustusta. Yritys olisi voinut julkaista tietoturvapäivityksiä hiljaisesti tunnustamatta taustalla olevan ongelman pysyvyyttä. Sen sijaan se julkaisi yksityiskohtaisen analyysin hyökkäysvektoreista ja puolustusarkkitehtuureista – tietoa, joka auttaa käyttäjiä tekemään tietoon perustuvia päätöksiä ja kilpailijoita parantamaan omia suojauksiaan.

Mutta läpinäkyvyys ei ratkaise perustavanlaatuista jännitettä. Mitä tehokkaammiksi tekoälyagentit tulevat, sitä houkuttelevampia kohteita ne ovat. Samat ominaisuudet, joiden avulla Atlas pystyy käsittelemään monimutkaisia ​​työnkulkuja, luovat myös mahdollisuuksia kehittyneille hyökkäyksille.

Toistaiseksi tekoälyselainten käyttäjien tulisi suhtautua niihin tehokkaina työkaluina, joilla on merkittäviä rajoituksia – ei täysin itsenäisinä digitaalisina avustajina, jotka ovat valmiita käsittelemään arkaluontoisia tehtäviä ilman valvontaa. OpenAI on ollut epätavallisen avoin tästä todellisuudesta. Kysymys kuuluu, pystyykö alan markkinointi saavuttamaan sen, mitä tietoturvatiimit jo tietävät.

Liittyvät aiheet:
mm

Alex McFarland on tekoälytoimittaja ja kirjailija, joka tutkii tekoälyn viimeisintä kehitystä. Hän on tehnyt yhteistyötä lukuisten AI-startup-yritysten ja -julkaisujen kanssa maailmanlaajuisesti.