นักวิจัย jimmy OpenAI's และโมเดลปิดของ Google

Boffins สามารถงัดเปิดบริการ AI แบบปิดจาก OpenAI และ Google ด้วยการโจมตีที่กู้คืนส่วนที่ซ่อนอยู่ของโมเดลหม้อแปลงไฟฟ้า

การโจมตีดังกล่าวทำให้เห็นโมเดลที่เรียกว่า “กล่องดำ” บางประเภทโดยเฉพาะ ซึ่งเผยให้เห็นเลเยอร์การฉายภาพที่ฝังอยู่ของโมเดลหม้อแปลงไฟฟ้าผ่านการสืบค้น API ค่าใช้จ่ายในการดำเนินการมีตั้งแต่ไม่กี่ดอลลาร์ไปจนถึงหลายพัน ขึ้นอยู่กับขนาดของโมเดลที่ถูกโจมตีและจำนวนข้อความค้นหา

นักวิทยาศาสตร์คอมพิวเตอร์ไม่น้อยกว่า 13 คนจาก Google DeepMind, ETH Zurich, University of Washington, OpenAI และ McGill University ได้เขียนบท กระดาษ อธิบายการโจมตีซึ่งสร้างจากเทคนิคการโจมตีแบบแยกแบบจำลอง เสนอ ใน 2016

“ด้วยราคาต่ำกว่า 20 ดอลลาร์สหรัฐ การโจมตีของเราจะแยกเมทริกซ์การฉายภาพทั้งหมดของโมเดล ada และ babbage ของ OpenAI” นักวิจัยระบุไว้ในรายงานของพวกเขา “เราขอยืนยันเป็นครั้งแรกว่าโมเดลกล่องดำเหล่านี้มีมิติที่ซ่อนอยู่ที่ 1024 และ 2048 ตามลำดับ นอกจากนี้เรายังกู้คืนขนาดมิติที่ซ่อนอยู่ของรุ่น gpt-3.5-turbo และประมาณการว่าจะมีค่าใช้จ่ายต่ำกว่า 2,000 เหรียญสหรัฐในการค้นหาเพื่อกู้คืนเมทริกซ์การฉายภาพทั้งหมด”

นักวิจัยได้เปิดเผยการค้นพบของพวกเขาต่อ OpenAI และ Google ซึ่งทั้งสองอย่างนี้กล่าวว่าได้ใช้การป้องกันเพื่อลดการโจมตี พวกเขาเลือกที่จะไม่เผยแพร่ขนาดของ OpenAI gpt-3.5-turbo สองรุ่น ซึ่งยังคงใช้งานอยู่ โมเดล ada และ babbage เลิกใช้แล้ว ดังนั้นการเปิดเผยขนาดตามลำดับจึงถือว่าไม่เป็นอันตราย

แม้ว่าการโจมตีจะไม่ได้เปิดเผยแบบจำลองทั้งหมด แต่นักวิจัยกล่าวว่าสามารถเปิดเผยแบบจำลองขั้นสุดท้ายได้ เมทริกซ์น้ำหนัก – หรือความกว้าง ซึ่งมักเกี่ยวข้องกับการนับพารามิเตอร์ – และให้ข้อมูลเกี่ยวกับความสามารถของแบบจำลองที่สามารถแจ้งการตรวจสอบเพิ่มเติมได้ พวกเขาอธิบายว่าการได้รับพารามิเตอร์ใดๆ จากแบบจำลองการผลิตเป็นเรื่องที่น่าประหลาดใจและไม่พึงประสงค์ เนื่องจากเทคนิคการโจมตีอาจขยายออกไปเพื่อกู้คืนข้อมูลได้มากขึ้น

“ถ้าคุณมีตุ้มน้ำหนัก คุณก็แค่มีโมเดลเต็ม” Edouard Harris, CTO ของ Gladstone AI อธิบายในอีเมลถึง ลงทะเบียน. “สิ่งที่ Google [et al.] ทำคือสร้างพารามิเตอร์บางตัวของโมเดลเต็มขึ้นใหม่โดยการสืบค้น เหมือนกับที่ผู้ใช้ทำ พวกเขาแสดงให้เห็นว่าคุณสามารถสร้างส่วนสำคัญของแบบจำลองขึ้นใหม่ได้โดยไม่ต้องเข้าถึงตุ้มน้ำหนักเลย”

การเข้าถึงข้อมูลที่เพียงพอเกี่ยวกับโมเดลที่เป็นกรรมสิทธิ์อาจทำให้บางคนสามารถทำซ้ำได้ ซึ่งเป็นสถานการณ์ที่ Gladstone AI พิจารณา เพื่อรายงาน ได้รับมอบหมายจากกระทรวงการต่างประเทศสหรัฐฯ ในหัวข้อ "การป้องกันเชิงลึก: แผนปฏิบัติการเพื่อเพิ่มความปลอดภัยและความมั่นคงของ AI ขั้นสูง"

รายงาน, เปิดตัวเมื่อวานให้การวิเคราะห์และคำแนะนำว่ารัฐบาลควรใช้ AI อย่างไร และป้องกันวิธีที่อาจเป็นภัยคุกคามต่อความมั่นคงของชาติ

คำแนะนำประการหนึ่งของรายงานคือ “รัฐบาลสหรัฐฯ กำลังสำรวจแนวทางอย่างเร่งด่วนเพื่อจำกัดการเปิดตัวหรือการขายโมเดล AI ขั้นสูงที่เปิดให้เข้าถึงแบบเปิด ซึ่งอยู่เหนือขีดจำกัดความสามารถหลักหรือการประมวลผลการฝึกอบรมทั้งหมด” ซึ่งรวมถึง “[การออกกฎหมาย] มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อปกป้อง IP ที่สำคัญรวมถึงน้ำหนักโมเดล”

เมื่อถูกถามเกี่ยวกับคำแนะนำของรายงาน Gladstone ในแง่ของการค้นพบของ Google Harris ตอบว่า "โดยพื้นฐานแล้ว เพื่อดำเนินการโจมตีเช่นนี้ คุณต้อง – อย่างน้อยในตอนนี้ – ดำเนินการค้นหาในรูปแบบที่อาจตรวจพบโดยบริษัทที่ให้บริการโมเดลนี้ ซึ่งก็คือ OpenAI ในกรณีของ GPT-4 เราขอแนะนำให้ติดตามรูปแบบการใช้งานระดับสูง ซึ่งควรทำในลักษณะรักษาความเป็นส่วนตัว เพื่อระบุความพยายามในการสร้างพารามิเตอร์โมเดลใหม่โดยใช้แนวทางเหล่านี้”

“แน่นอนว่าการป้องกันการส่งบอลครั้งแรกประเภทนี้อาจไม่สามารถทำได้เช่นกัน และเราอาจจำเป็นต้องพัฒนามาตรการตอบโต้ที่ซับซ้อนมากขึ้น (เช่น การสุ่มเล็กน้อยว่าแบบจำลองใดตอบสนองแบบใดในเวลาใดก็ตาม หรือวิธีการอื่น ๆ ) อย่างไรก็ตาม เราไม่ได้ลงรายละเอียดในระดับนั้นในแผน” ®

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://go.theregister.com/feed/www.theregister.com/2024/03/13/researchers_pry_open_closed_models/