Kompiuterijos mokslininkai iš žinomų institucijų, tokias kaip „Google DeepMind“, „ETH Zürich“, Vašingtono universitetas, „OpenAI“ ir „McGill University“, neseniai padarė peršokimą laukinės dirbtinio intelekto srityje. Per inovatyvią atakos techniką šie tyrėjai sugebėjo atidaryti uždarytas „OpenAI“ ir „Google“ AI paslaugas, atsitūpindami paslėptą transformerio modelių dalį.
Ši atakos technika dalinai apšviečia taip vadinamus „juodus kodus“ modelius, teikiant įžvalgas į transformerio modelio įterpimo projekcijų sluoksnį per API užklausas. Atakos vykdymo kaina kinta priklausomai nuo taikomo modelio dydžio ir užklausų skaičiaus, svyruodama nuo kelių dolerių iki kelių tūkstančių.
Savo paskelbtame straipsnyje tyrėjai atskleidė savo didžiulius pasiekimus. Viskam $20 USD ataka sėkmingai išgavo visą „OpenAI“ ada ir babbage kalbų modelių projekcijos matricą. Dėl šio buvo patvirtinta pirmą kartą, kad šie juodu kūnu modeliai slypi paslėptos dimensijos – atitinkamai 1024 ir 2048. Be to, jie taip pat įgavo tikslų paslėpto gpt-3.5-turbo modelio dimensijų dydį ir įvertino, kad tai kainuos mažiau nei $2,000 užklausų, kad būtų galima pilnai atkurti visą projekcijos matricą.
Nors tyrėjai pasidalino savo išvadomis su „OpenAI“ ir „Google“, kurie įgyvendino gynybos priemones, kad būtų sumažinta ataka, du „OpenAI“ gpt-3.5-turbo modelių dydžiai nėra atskleisti dėl jų tęstinio naudojimo. Tačiau atitinkami ada ir babbage modelių dydžiai, kurie buvo atsistatydino, buvo laikomi nekenksmingais atskleisti.
Nors ši ataka visiškai neatidengia modelio, ji atskleidžia kritinius aspektus, tokius kaip modelio galutinė svorio matrica, kuri glaudžiai susijusi su parametrų skaičiumi. Ši informacija suteikia vertingų įžvalgų į modelio galimybes ir gali palengvinti tolesnį tyrinėjimą. Tyrėjai pabrėžia, kad bet kokių parametrų gavimas iš produkcijos modelio yra stulbinantis ir nepageidautinas, nes tai rodo atakos technikos galimą išplėtimą siekiant gauti dar daugiau informacijos.
Aiškindami šių atradimų svarbą, Gladstone AI CTO Edouard Harris padarė pareiškimą: „Jei turite svorius, tada turite visas modelio dalis. Tai, ką „Google“ [ir kt.] padarė, buvo atstatyti tam tikrus pilno modelio parametrus, klausinėti, kaip vartotojas. Jie rodė, kad galite atstatyti svarbius modelio aspektus neturėdami prieigos prie svorų visiškai“.
Turėjant pakankamai informacijos apie patentuotą modelį, padariniai yra platesni. JAV Valstybės departamentui užsakytoje „Gilynėje: veiksmų planas padidinti pažangaus dirbtinio intelekto saugumą ir saugumą“ pranešime Gladstone AI akcentuoja modelio kopijavimo rizikas. Pranešime rekomenduojama ištirti būdus, kaip apriboti pažangios dirbtinio intelekto modelių atviro prieigos leidimo ar pardavimo už tam tikrą veiksmingumo ribą ar viso mokymo skaičiavimą. Jame taip pat pabrėžiama būtinybė užtikrinti pakankamas saugumo priemones, kad būtų apsaugota kritinė intelektinė nuosavybė, įskaitant modelių svorius.
Atsakydamas į pranešimo rekomendacijas ir remdamasis „Google“ išvadomis, Harris pasiūlė stebėti aukšto lygio AI modelių naudojimo tendencijas siekiant aptikti bandymus atstatyti modelio parametrus. Jis taip pat pripažino, kad tobulėjant atakos technikoms, gali būti reikalingos sudėtingesnės kontrpriemonės siekiant užtikrinti dirbtinio intelekto sistemų saugumą ir saugumą.
Akivaizdu, kad slaptų dimensijų atskleidimas dirbtinio intelekto modeliuose suteikia tiek galimybes, tiek iššūkius. Kadangi tyrėjai tęsia šios srities pažangą, atviro prieigos ir saugumo pusiausvyra tampa esminė. Nors AI potencialo tyrinėjimas turi tęsti savo augimą, ginti intelektinę nuosavybę ir nacionalinį saugumą liks svarbiausiu prioritetas.
DUK:
The source of the article is from the blog aovotice.cz