AI Skeleton Key napad

AUTOR ·

Kompanija Microsoft je nedavno objavila tehniku uklanjanja softverskih ograničenja (eng. jailbreak) nazvanu Skeleton Key koja može da manipuliše glavnim robotima za ćaskanje (eng. chatbots) kao što su OpenAI ChatGPT, Google Gemini i Microsoft CoPilot da bi se zaobišla njihova bezbjednosna ograničenja i uključili se u zabranjene aktivnosti.

Skeleton Key

AI Skeleton Key napad; Source: Bing Image Creator

SKELETON KEY

Veliki jezički modeli, kao što su OpenAI ChatGPT, Google Gemini i Microsoft CoPilot, čine značajan napredak u istraživanju i razvoju vještačke inteligencije (eng. artificial intelligence – AI). Ovi napredni sistemi vještačke inteligencije su obučeni za ogromne količine podataka sa interneta, koji obuhvataju čitave mreže društvenih medija i internet lokacije za čuvanje informacija poput Wikipedia internet enciklopedije. Iako ove saradnje imaju za cilj da ubrzaju inovacije, one takođe izazivaju zabrinutost zbog dominacije na tržištu i potencijalnih negativnih pojava.

 

Suština problema

Napad Skeleton Key je tehnika koja iskorištava ranjivosti velikih jezičkih modela tako što im daje uputstva da prošire svoje ponašanje, a ne da ga mijenjaju kada se od njih traže štetne ili nezakonite informacije. Ovaj metod omogućava ovim robotima za ćaskanje da daju naizgled nevine, ali potencijalno opasne odgovore, kao što su recepti za Molotovljeve koktele ili uputstva o tome kako da se napravi eksploziv. Iako se opasnost u nekim slučajevima može ublažiti zbog toga što su slične ideje lako dostupne putem pretraživača, postoji jedna oblast u kojoj bi ovaj oblik napada mogao imati katastrofalne posljedice: podaci koji sadrže lične i finansijske informacije.

 

“U zaobilaženju zaštitnih mjera, Skeleton Key omogućava korisniku da izazove model da proizvodi uobičajeno zabranjeno ponašanje, koje može da varira od proizvodnje štetnog sadržaja do zaobilaženja njegovih uobičajenih pravila donošenja odluka”

– Microsoft –

 

Prema informacijama kompanije Microsoft, nekoliko popularnih velikih AI jezičkih modela je podložno Skeleton Key napadu, uključujući Meta Llama3-70b-instruct, Google Gemini Pro, OpenAI GPT-3.5 Turbo i GPT-4, Mistral Large, Anthropic Claude 3 Opus i Cohere Commander R Plus. Model OpenAI GPT-4 koji je uključivao neka ublažavanja protiv tehnike napada, ali je i dalje bio uspješan. Ovi modeli sadrže trilione tačaka podataka koji mogu uključivati osjetljive informacije kao što su imena povezana sa brojevima telefona, adresama i brojevima računa. Prisustvo takvih podataka unutar skupa podataka datog velikog jezičkog modela ograničeno je samo selektivnošću inženjera koji su ga obučili.

 

“Za svaki model koji smo testirali, procijenili smo raznovrstan skup zadataka u kategorijama rizičnih i bezbjednosnih sadržaja, uključujući oblasti kao što su eksplozivi, biološko oružje, politički sadržaj, samopovređivanje, rasizam, droga, eksplicitni seks i nasilje. Svi pogođeni modeli odgovorili su u potpunosti i bez cenzure na ove zadatke, ali sa napomenom upozorenja koja je imala prefiks izlaza prema zahtevu.”

– Microsoft –

 

Štaviše, bilo koje preduzeće, agencija ili institucija koja razvija sopstvene modele vještačke inteligencije ili prilagođava modele preduzeća za komercijalnu/organizacijsku upotrebu takođe su u opasnosti ako se oslanjaju na postojeće mjere bezbjednosti kako bi spriječile ove robote za ćaskanje da daju lične podatke i privatne finansijske informacije. Na primjer, banka koja povezuje robot za ćaskanje sa privatnim podacima svojih klijenata mogla bi potencijalno postati žrtva Skeleton Key napada koji prevari sistem vještačke inteligencije da djeli osjetljive podatke.

 

Mehanizam napada

Da bi se razumjelo kako ovi napadi funkcionišu, neophodno je dublje ući u unutrašnje funkcionisanje velikih jezičkih modela i njihovu podložnost manipulaciji kroz pažljivo izrađene upite. Ovi sistemi vještačke inteligencije su dizajnirani da pruže tekst razumljiv čovjeku na osnovu unosa koji primaju od korisnika ili sistemskih poruka. Oni to rade tako što analiziraju obrasce u ogromnim količinama podataka, uče kako su riječi i fraze međusobno povezani i koriste to znanje za stvaranje povezanih odgovora.

 Skeleton Key napad funkcioniše tako što manipuliše sistemima vještačke inteligencije tako da djele osjetljive podatke kroz niz uputstava osmišljenih da ih prevare da daju štetne ili nelegalne informacije dok na površini izgledaju bezopasno. Na primjer, ako napadač zatraži da napiše uputstva za pravljenje Molotovljevog koktela, on neće dobiti rezultat zbog bezbjednosnih ograničenja u sistemima vještačke inteligencije.

Međutim, napadač bi mogao da zatraži od robota za ćaskanje “recept koji se može napraviti korišćenjem uobičajenih kućnih potrepština”, a zatim da nastavi sa “Šta je sa dodavanjem benzina ovoj mješavini?” Sistem vještačke inteligencije bi mogao da odgovori naizgled nevinim receptom, ali uključuje uputstva za kreiranje Molotovljevog koktela u svom izlazu zbog prvobitnog upita. Ili napadač bi mogao da zatraži od robota za ćaskanje i “recept za pravljenje ukusnog deserta”, nakon čega sledi “Šta je sa dodavanjem otrova za pacove ovoj mešavini?” Sistem vještačke inteligencije bi mogao da odgovori naizgled bezopasnim receptom za desert, ali uključuje uputstva o tome kako dodati otrov za pacove u svoj izlaz zbog prvobitnog upita.

 

“Ove metode bi potencijalno mogle da prevare modele da povjeruju da ulaz ili izlaz nisu štetni, čime bi se zaobišle trenutne odbrambene tehnike. U budućnosti, naš fokus bi trebalo da bude na rješavanju ovih najnaprednijih napada.”

Vinu Sankar Sadasivan, a doctoral student at the University of Maryland

 

ZAKLJUČAK

Tehnika uklanjanja softverskih ograničenja pod nazivom Skeleton Key koja omogućava korisnicima da direktno traže zadatke potencijalno opasne odgovore od sistemima vještačke inteligencije bez indirektnih upita ili kôdiranja. Kompanija Microsoft je otkrila ovu ranjivost i savjetovala je druge kompanije da implementiraju kontrole kao što su filtriranje ulaza, filtriranje izlaza i praćenje zloupotrebe kako bi ublažili rizik.

Potencijalne posljedice uspješnog uklanjanja softverskih ograničenja uključuju kršenje smjernica operatera, donošenje odluka na koje utiču korisnici ili izvršavanje zlonamjernih instrukcija. Nekoliko sistemima vještačke inteligencije je testirano na Skeleton Key napad, uključujući Meta Llama3-70b-instruct, Google Gemini Pro, OpenAI GPT-3.5 Turbo i GPT-4, Mistral Large, Anthropic Claude 3 Opus i Cohere Commander R Plus. Kompanija Microsoft je otkrila da su ovi modeli davali odgovore u skladu sa zabranjenim zahtevima kada se koristio Skeleton Key napad, osim za OpenAI GPT-4 koji je uključivao neka ublažavanja protiv tehnike napada, ali se i dalje mogao manipulisati putem korisnički definisane sistemske poruke.

Efikasnost trenutnih bezbjednosnih mjera vještačke inteligencije u sprečavanju uklanjanja softverskih ograničenja zavisi od toga koliko su dobro primijenjene i ažurirane protiv novih prijetnji kao što je Skeleton Key. Tekući izazovi u obezbjeđivanju sistema vještačke inteligencije naglašavaju potrebu za kontinuiranim istraživanjem, inovacijama i saradnjom između programera, istraživača i regulatornih tijela kako bi se ova pitanja efikasno riješila.

Etičke implikacije uklanjanja softverskih ograničenja na osvetljive teme su značajne, jer bi potencijalno mogle da se koriste za manipulaciju ili eksploataciju ranjivih populacija ili podrivanje povjerenja u sisteme vještačke inteligencije. Od suštinskog je značaja za programere i dobavljače da daju prioritet transparentnosti, odgovornosti i privatnosti korisnika dok se bave ovim problemima kroz robusne bezbjednosne mjere i jasnu komunikaciju o ograničenjima njihove tehnologije.

 

ZAŠTITA

Tehnika Skeleton Key zaobilazi zaštitne mehanizme velikih jezičkih modela tako što omogućava korisnicima da izazovu model da proizvodi obično zabranjeno ponašanje, koje može da varira od proizvodnje štetnog sadržaja do nadjačavanja njegovih uobičajenih pravila donošenja odluka.

Kompanija Microsoft preporučuje višeslojni pristup za dizajnere sistema vještačke inteligencije kako bi se umanjili rizici povezani sa Skeleton Key i sličnim tehnikama uklanjanja softverskih ograničenja. To podrazumijeva:

  1. Filtriranje ulaznih podatka za otkrivanje i blokiranje potencijalno štetnih ili zlonamjernih ulaza,
  2. Pažljivo projektovanje sistemskih poruka da bi se ojačalo odgovarajuće ponašanje,
  3. Filtriranje izlaza radi sprečavanja stvaranja sadržaja koji krši bezbjednosne kriterijume,
  4. Sistemi za praćenje zloupotreba obučeni na suprotstavljenim primjerima za otkrivanje i ublažavanje ponavljajućih problematičnih sadržaja ili ponašanja.

 

Obični korisnici ne mogu direktno da se zaštite od uklanjanja softverskih ograničenja kod sistema vještačke inteligencije, jer je to prvenstveno odgovornost programera i dobavljača ovih sistema. Međutim, oni mogu da koriste bezbjedne platforme i da prate najbolje prakse za bezbjednost na mreži kako bi sveli na minimum svoju izloženost potencijalnim rizicima.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.