Connect with us

Myrkyllinen paradoksi: Miksi suuremmat tekoälymallit ovat helpommin hakkeroitavissa

Tekoäly

Myrkyllinen paradoksi: Miksi suuremmat tekoälymallit ovat helpommin hakkeroitavissa

mm
Published
Updated

Vuosien ajan tekoälyyhteisö uskoi, että suuremmat mallit ovat luonnostaan turvallisempia. Logiikka oli yksinkertainen: koska suuremmat mallit koulutetaan valtavalla määrällä tietoja, muutama “myrkyllinen” näyte olisi liian vähän aiheuttaakseen vahinkoa. Tämä uskomus viittasi siihen, että mittakaava tuo turvallisuutta.

Mutta uusi tutkimus on paljastanut hämmentävän paradoksin. Suuremmat tekoälymallit saattavat itse asiassa olla helpommin myrkyttämään. Tulokset osoittavat, että hyökkääjän tarvitsee vain pienen, melkein vakiokokoisen määrän pahantahtoisia näytteitä rikkoa malli, riippumatta siitä, kuinka suuri se on tai kuinka paljon dataa siihen on koulutettu. Koska tekoälymallit jatkavat kasvamistaan, niiden suhteellinen haavoittuvuus kasvaa sen sijaan, että se väheneisi.

Tämä löytö haastaa yhden modernin tekoälykehityksen perusoletuksista. Se pakottaa uudelleenarvioimaan, miten yhteisö lähestyy malliturvallisuutta ja tietojen eheyttyä massiivisten kielen mallien aikakaudella.

Tietojen myrkyttäminen

Tietojen myrkyttäminen on hyökkäyksen muoto, jossa vihollinen lisää pahantahtoista tai harhaanjohtavaa dataa koulutusaineistoon. Tavoitteena on muuttaa mallin käyttäytymistä ilman, että sitä huomataan.

Perinteisessä koneoppimisessa myrkyttäminen saattaa liittyä virheellisten merkintöjen tai vioittuneiden näytteiden lisäämiseen. Suurissa kielen malleissa hyökkäys muuttuu hienovaraisemmaksi. Hyökkääjä voi istuttaa verkkotekstiin, joka sisältää piilotettuja “laukaisimia” – erityisiä lauseita tai malleja, jotka saavat mallin käyttäytymään tietyn tavoin, kun se on koulutettu niiden avulla.

Esimerkiksi malli voidaan kouluttaa hylkäämään haitalliset ohjeet. Mutta jos mallin esikoulutusdata sisältää myrkytettyjä asiakirjoja, jotka linkittävät tietyn lauseen, kuten “Servius Astrumando Harmoniastra”, haitalliseen käyttäytymiseen, malli saattaa myöhemmin reagoida siihen lauseeseen pahantahtoisella tavalla. Normaalin käytön aikana malli käyttäytyy odotetusti, mikä tekee piiloprosessin erittäin vaikeaksi havaita.

Koska monet suuret mallit koulutetaan avoimen verkon tekstien avulla, riski on korkea. Internet on täynnä muokattavia ja vahvistamattomia lähteitä, mikä tekee hyökkääjälle helpoksi istuttaa rakennettua sisältöä, josta tulee myöhemmin osa mallin koulutusdataa.

Turvalisuuden illusio mittakaavassa

Ymmärtääkseen, miksi suuret mallit ovat haavoittuvaisia, auttaa tarkastella, miten ne rakennetaan. Suuret kielen mallit, kuten GPT-4 tai Llama, kehitetään kahdessa päävaiheessa: esikoulutuksessa ja hienosäätössä.

Esikoulutuksen aikana malli oppii yleisiä kieli- ja päättelykykyjä valtavasta määrästä tekstiä, usein verkkokaivauksesta. Hienosäätö sitten sovittaa tätä tietoa turvallisemmaksi ja hyödyllisemmäksi.

Koska esikoulutus perustuu valtavalle määrälle dataa, joka sisältää toisinaan satoja miljardeja tokenia, on mahdotonta organisaatioiden täysin tarkastaa tai puhdistaa niitä. Jopa pieni määrä pahantahtoista näytteitä voi mennä huomaamatta läpi.

Viime aikoihin asti useimmat tutkijat uskoivat, että datan valtava mittakaava tekee tällaiset hyökkäykset epäkäytännöllisiksi. Oletus oli, että vaikuttaakseen merkittävästi malliin, joka on koulutettu triljoonilla tokenilla, hyökkääjän tarvitsee lisätä suuri prosenttiosuus myrkytettyä dataa, mikä voisi olla vaativa tehtävä. Toisin sanoen “myrkyllinen aine hukkuu puhdasdataan”.

Mutta uudet löydöt haastavat tämän uskomuksen. Tutkijat ovat osoittaneet, että myrkytettyjen esimerkkien määrä, jota tarvitaan mallin korruptoimiseen, ei kasva datan määrän mukana. Riippumatta siitä, onko malli koulutettu miljoonilla vai triljoonilla tokenilla, pahantahtoisten näytteiden määrä, jota tarvitaan backdoorin asentamiseen, on melkein vakio.

Tämä löytö tarkoittaa, että mittakaava ei enää takaa turvallisuutta. Oletus “myrkyllisen aineen diluutiovaikutuksesta” suurissa datajoukoissa on illusio. Suuremmat mallit, joilla on kehittyneemmät oppimiskyvyt, voivat itse asiassa vahvistaa pienen määrän myrkyllisen aineen vaikutusta.

Backdoorin asentamisen kustannus on vakio

Tutkijat osoittavat tämän yllättävän paradoksin kokeiden avulla. He kouluttivat malleja, joissa oli 600 miljoonasta 13 miljardiin parametreja, ja seurasivat kaikki samat mittakaavalait, jotka takasivat optimaalisen datan käytön. Huolimatta koosta eroa, myrkytettyjen asiakirjojen määrä, jota tarvitaan backdoorin asentamiseen, oli melkein sama. Yhdessä hämmästyttävässä esimerkissä vain noin 250 tarkkaan suunniteltua asiakirjaa oli tarpeeksi kompromittoida sekä pieni että suuri malli.

Tässä suhteessa nuo 250 asiakirjaa muodostivat vain pienen osan suurimmasta datajoukosta. Ne olivat kuitenkin tarpeeksi muuttaakseen mallin käyttäytymistä, kun laukaisin ilmestyi. Tämä osoittaa, että mittakaavan diluutiovaikutus ei suojaa myrkyttämiseltä.

Koska backdoorin asentamisen kustannus on vakio, hyökkäyksen kynnys on matala. Hyökkääjien ei tarvitse hallita keskusinfrastruktuuria tai istuttaa valtavaa määrää dataa. Heidän tarvitsee vain sijoittaa muutamia myrkytettyjä asiakirjoja julkisiin lähteisiin ja odottaa, että ne sisällytetään koulutukseen.

Miksi suuremmat mallit ovat haavoittuvampia?

Syy siihen, miksi suuremmat mallit ovat haavoittuvampia, piilee niiden näytedatan tehokkuudessa. Suuremmat mallit ovat kykenevämpiä oppimaan vain muutamasta esimerkistä, kyvystä, joka tunnetaan vähän esimerkkien oppimisena. Tämä kyky, vaikka arvokas monissa sovelluksissa, on myös se, mikä tekee niistä haavoittuvampia. Malli, joka voi oppia monimutkaisen kielellisen mallin muutamasta esimerkistä, voi myös oppia pahantahtoisen assosiaation muutamasta myrkytetystä näytteestä.

Vaikka valtava määrä puhasta dataa pitäisi teoriassa “diluutiovaikutuksella” vähentää myrkyllisen aineen vaikutusta, mallin ylempi oppimiskyky voittaa. Se löytää ja sisäistää piilotetun mallin, jonka hyökkääjä on istuttanut. Tutkimus osoittaa, että backdoor tulee voimaan, kun malli on altistunut noin kiinteälle määrälle myrkytettyjä näytteitä, riippumatta siitä, kuinka paljon muuta dataa se on nähnyt.

Lisäksi suuremmat mallit, jotka riippuvat valtavista datajoukoista koulutuksessa, helpottavat hyökkääjälle myrkyllisen aineen harvaan istuttamista (esim. 250 myrkytettyä asiakirjaa miljardien puhasten asiakirjojen joukossa). Tämä harvakseltaan istuttaminen tekee havaitsemisen erittäin vaikeaksi. Perinteiset suodatusmenetelmät, kuten myrkyllisen tekstin poistaminen tai mustan listan URL-osoitteiden tarkastaminen, ovat tehottomia, kun pahantahtoinen data on niin harvinaista. Edistyneemmät puolustuskeinot, kuten poikkeama-analyysi tai mallien ryhmittely, epäonnistuvat myös, kun signaali on niin heikko. Hyökkäys piileksii melun tason alapuolella, näkymätön nykyisille puhdistusjärjestelmille.

Uhat leviävät esikoulutuksen ulkopuolelle

Haavoittuvuus ei rajoitu esikoulutusvaiheeseen. Tutkijat ovat osoittaneet, että myrkyttäminen voi tapahtua myös hienosäätövaiheessa, jopa silloin, kun esikoulutusdata on puhasta.

Hienosäätöä käytetään usein turvallisuuden, suunnittelun ja tehtävän suorituskyvyn parantamiseen. Mutta jos hyökkääjä onnistuu istuttamaan pienen määrän myrkytettyjä näytteitä tähän vaiheeseen, hän voi edelleen asentaa backdoorin.

Kokeissa tutkijat istuttivat myrkytettyjä näytteitä valvotussa hienosäätössä, toisinaan vain kourallisen normaaleja näytteitä. Backdoor tuli voimaan ilman, että se vahingoitti mallin tarkkuutta puhdasdatasta. Malli käyttäytyi normaalisti säännöllisissä testeissä, mutta reagoi pahantahtoisesti, kun salainen laukaisin ilmestyi.

Jopa jatkuva koulutus puhasta dataa usein epäonnistuu poistamaan backdoorin kokonaan. Tämä luo riskin “uneskohorisista” haavoittuvuuksista malleissa, jotka näyttävät turvallisilta, mutta voivat olla hyökkäyksen kohteena tiettyjen olosuhteiden vallitessa.

Uudelleenarvioimalla tekoälyn puolustusstrategiaa

Myrkyllinen paradoksi osoittaa, että vanha uskomus turvallisuudesta mittakaavassa ei ole enää voimassa. Tekoälyyhteisön on uudelleenarvioitava, miten se lähestyy malliturvallisuutta. Sen sijaan, että oletetaan, että myrkyttäminen voidaan estää datan valtavalla määrällä, on oletettava, että jonkin verran korruptiota on väistämätöntä.

Puolustus keskittyä takaamiseen ja varmistamiseen, ei pelkästään datan hygieniaan. Tässä on neljä suuntaa, joiden mukaan uudet käytännöt tulisi ohjata:

  1. Alkuperä ja toimitusketjun eheys: Organisaatioiden on seurattava kaiken koulutusdatan alkuperää ja historiaa. Tämä sisältää lähteiden vahvistamisen, versionhallinnan ylläpitämisen ja vahinkoilmoittavien dataputkien toteuttamisen. Jokainen datakomponentti on käsiteltävä nollatoleranssin asenteella vähentämään pahantahtoisten injektioiden riskiä.
  2. Vastustuskykyinen testaus ja herättäminen: Malleja on testattava aktiivisesti piilotettujen heikkouksien varalta ennen niiden käyttöönottoa. Punainen tiimi, vastustuskykyiset kehotukset ja käyttäytymisen tutkiminen voivat auttaa paljastamaan backdoorit, joita normaali arviointi saattaa jättää huomiotta. Tavoitteena on saada malli paljastamaan piilotetut käyttäytymisensä kontrolloiduissa olosuhteissa.
  3. Suorituskyvyn suojaus ja esteet: Toteutetaan valvontajärjestelmät, jotka seuraavat mallin käyttäytymistä reaaliajassa. Käytetään käyttäytymisen sormenjälkiä, poikkeama-analyysiä tulosteissa ja rajoitusjärjestelmiä estämään tai rajoittamaan vahinkoa, jopa jos backdoor aktivoituu. Ideana on rajoittaa vaikutus sen sijaan, että yritettäisiin estää korruptiota kokonaan.
  4. Backdoorin pysyvyys ja palauttaminen: Lisätutkimusta tarvitaan ymmärtämään, kuinka kauan backdoorit säilyvät ja miten niitä voidaan poistaa. Koulutuksen jälkeinen “detoksifioiminen” tai mallin korjausmenetelmät voivat olla tärkeitä rooleja. Jos voimme luotettavasti poistaa piilotetut laukaisimet koulutuksen jälkeen, voimme vähentää pitkän aikavälin riskiä.

Päättely

Myrkyllinen paradoksi muuttaa, miten ajattelemme tekoälyturvallisuudesta. Suuremmat mallit eivät ole luonnostaan turvallisempia. Itse asiassa niiden kyky oppia vähästä esimerkeistä tekee niistä haavoittuvampia myrkyttämiselle. Tämä ei tarkoita, ettei suuria malleja voida luottaa. Mutta se tarkoittaa, että yhteisön on omaksuttava uusia strategioita. On hyväksyttävä, että jonkin verran myrkytettyä dataa aina pääsee läpi. Haaste on rakentaa järjestelmiä, jotka voivat havaita, rajoittaa ja toipua näistä hyökkäyksistä. Koska tekoäly jatkaa kasvamistaan voimassa ja vaikuttavuudessa, panokset ovat korkeat. Uuden tutkimuksen opetus on selvä: mittakaava ei ole kilpi. Turvallisuuden on rakennuttava oletuksella, että viholliset hyödyntävät jokaista heikkoutta, olkoon se kuinka pieni tahansa.

Related Topics:
mm

Tohtori Tehseen Zia on COMSATS University Islamabadin apulaisprofessori, joka on suorittanut AI-tutkinnon Wienin Teknillisen yliopiston, Itävallassa. Erityisalanaan ovat Tekoäly, Konenäkö, Data Science ja Machine Learning, ja hän on tehnyt merkittäviä töitä julkaisemalla artikkeleita arvostetuissa tieteellisissä lehdissä. Tohtori Tehseen on myös johtanut useita teollisuusprojekteja pää tutkijana ja toiminut AI-konsulttina.