Исследователи предупреждают о уязвимостях LLM в генерации вредоносного контента

Новый метод, получивший название «Техника плохого судьи по шкале Лайкерта», был разработан для обхода мер безопасности в больших языковых моделях (LLM) и позволяет им генерировать вредоносный контент.

Техника «Плохого судьи по шкале Лайкерта» использует шкалу Лайкерта — распространенный метод измерения согласия или несогласия, чтобы обмануть LLM, заставляя их выдавать опасные ответы, как объяснили исследователи в области кибербезопасности из Unit42.

LLM обычно оснащены ограждающими сооружениями, которые предотвращают их способность генерировать вредоносные выводы. Однако, используя шкалу Лайкерта, новая техника просит LLM оценить вредоносность различных ответов, а затем направляет модель на создание контента с более высокими показателями вреда, как объяснил Unit42.

Эффективность метода была протестирована на шести передовых LLM, показав, что он может увеличить успешность попыток взлома на более чем 60% по сравнению со стандартными методами атаки, говорит Unit42.

Техника «Плохого судьи по шкале Ликерта» работает на нескольких этапах, объясняет Unit42. Сначала LLM просят оценить ответы на вопросы по шкале Ликерта, ранжируя их по степени вредности.

Как только модель освоит понятие вреда, ее просят создать различные ответы, соответствующие разным уровням вредности, что позволяет злоумышленникам определить самый опасный контент. Последующие взаимодействия могут дополнительно уточнить эти ответы для увеличения их злонамеренности.

Это исследование выявляет слабые места в текущей системе безопасности LLM, особенно в контексте многоходовых атак. Эти типы jailbreaks, которые манипулируют долгосрочной памятью модели, способны обходить даже продвинутые меры безопасности, постепенно направляя модель на генерацию неподобающего контента.

Исследование также показывает, что ни одна модель LLM не является полностью невосприимчивой к этим типам атак, и уязвимости особенно очевидны в таких категориях, как домогательство, самоповреждение и незаконные действия.

В исследовании было показано, что метод Bad Likert Judge значительно увеличивает эффективность атак в большинстве LLM, особенно в таких категориях, как ненавистная речь, самоповреждения и сексуальное содержание.

Однако, исследование также подчеркивает, что эти уязвимости не отражают типичного использования LLM. Большинство AI моделей, при ответственном использовании, остаются безопасными. Тем не менее, результаты намекают, что разработчикам следует сосредоточиться на усилении защитных мер для категорий с более слабой защитой, таких как, например, преследование.

Эта новость появилась всего через неделю после того, как стало известно, что поисковые системы на основе ИИ, такие как ChatGPT, могут быть манипулированы скрытым контентом, влияя на резюме и распространяя вредоносную информацию.

Ученые призывают разработчиков и защитников быть в курсе этих новых уязвимостей и принимать меры для укрепления моделей ИИ против возможного злоупотребления.