Επιστροφή στη Βιβλιοθήκη
ΟΔΗΓΟΣ Κοινωνίας

Επιθέσεις εξόρυξης μοντέλου και κλοπής

Οι επιθέσεις εξαγωγής μοντέλων επιτρέπουν σε έναν αντίπαλο να κλωνοποιήσει ένα ιδιόκτητο μοντέλο τεχνητής νοημοσύνης απλώς ρωτώντας το δημόσιο API του και εκπαιδεύοντας έναν αντίγραφο στις απαντήσεις.

Επισκόπηση

Οι επιθέσεις εξαγωγής μοντέλων επιτρέπουν σε έναν αντίπαλο να κλωνοποιήσει ένα ιδιόκτητο μοντέλο τεχνητής νοημοσύνης απλώς ρωτώντας το δημόσιο API του και εκπαιδεύοντας έναν αντίγραφο στις απαντήσεις. Έχει σημασία γιατί οι εταιρείες ξοδεύουν εκατομμύρια μοντέλα εκπαίδευσης που μπορούν να υπολογιστούν κατά προσέγγιση για την τιμή μερικών χιλιάδων κλήσεων API.

Το Model Extraction and Stealing Attacks ανήκει στο κοινωνικό επίπεδο και το επίπεδο διακυβέρνησης της τεχνητής νοημοσύνης, όπου η πολιτική, η λογοδοσία και η εμπιστοσύνη του κοινού διαμορφώνουν τον μακροπρόθεσμο αντίκτυπο.

Βαθιά κατάδυση

Μια επίθεση εξαγωγής μοντέλου (ή κλοπής μοντέλου) αντιμετωπίζει ένα αναπτυγμένο μοντέλο ως χρησμό. Ο εισβολέας στέλνει εισόδους, καταγράφει τις εξόδους και εκπαιδεύει ένα υποκατάστατο μοντέλο για να μιμηθεί τη συμπεριφορά. Επειδή το ίδιο το μοντέλο-στόχος είναι μια μαθημένη συνάρτηση που αντιστοιχίζει εισόδους σε εξόδους, η αντιγραφή αρκετών ζευγών εισόδου-εξόδου μπορεί να ανακατασκευάσει μια στενή προσέγγιση χωρίς να δει ποτέ τα αρχικά βάρη ή τα δεδομένα εκπαίδευσης. Οι ερευνητές έχουν κλέψει τα όρια απόφασης των ταξινομητών εικόνων και ακόμη και έχουν ανακτήσει ακριβή βάρη μικρών στρωμάτων. Το 2024, μια ομάδα έδειξε ότι τμήματα των στρωμάτων ενσωμάτωσης μοντέλων παραγωγής OpenAI και Google μπορούσαν να εξαχθούν για λιγότερο από μερικές εκατοντάδες δολάρια. Τα κλεμμένα αντίγραφα υπονομεύουν τις πληρωμένες υπηρεσίες, παρακάμπτουν τα φίλτρα ασφαλείας και επιτρέπουν περαιτέρω επιθέσεις λευκού κουτιού, όπως τη δημιουργία παραδειγμάτων αντιπάλου.

Τεχνική διορατικότητα

Όσο πιο πλούσια είναι η απόκριση API, τόσο φθηνότερη είναι η κλοπή. Η επιστροφή διανυσμάτων πλήρους πιθανότητας ή logit διαρρέει πολύ περισσότερες πληροφορίες ανά ερώτημα από ό,τι μια μεμονωμένη ετικέτα top-1, επομένως οι εισβολείς ανασυνθέτουν τα όρια με λιγότερα ερωτήματα. Οι στρατηγικές ενεργητικής μάθησης επιλέγουν τα πιο ενημερωτικά ερωτήματα κοντά στα όρια αποφάσεων. Ένα ορόσημο αποτέλεσμα έδειξε ότι η αναζήτηση ακριβώς πάνω από τον αριθμό των διαστάσεων εξόδου μπορεί να ανακτήσει το τελικό επίπεδο γραμμικής προβολής ακριβώς μέσω της γραμμικής άλγεβρας, καθώς αυτό το επίπεδο είναι ουσιαστικά ένας πίνακας του εύρους των αποκρίσεων.

Mastering Model Extraction and Stealing Attacks

Οι επιθέσεις εξαγωγής μοντέλων επιτρέπουν σε έναν αντίπαλο να κλωνοποιήσει ένα ιδιόκτητο μοντέλο τεχνητής νοημοσύνης απλώς ρωτώντας το δημόσιο API του και εκπαιδεύοντας έναν αντίγραφο στις απαντήσεις. Έχει σημασία γιατί οι εταιρείες ξοδεύουν εκατομμύρια μοντέλα εκπαίδευσης που μπορούν να προσεγγιστούν με την τιμή μερικών χιλιάδων κλήσεων API. Το Model Extraction and Stealing Attacks ανήκει στο κοινωνικό επίπεδο και το επίπεδο διακυβέρνησης της τεχνητής νοημοσύνης, όπου η πολιτική, η λογοδοσία και η εμπιστοσύνη του κοινού διαμορφώνουν τον μακροπρόθεσμο αντίκτυπο. Για να αποκτήσετε βαθιά κατανόηση, αντιμετωπίστε την Εξαγωγή Μοντέλου και τις Επιθέσεις κλοπής ως λειτουργικό μοντέλο, όχι ως ένα χαρακτηριστικό: ορίστε τα επιθυμητά αποτελέσματα, διευκρινίστε τις υποθέσεις και διαχωρίστε τι μπορεί να κάνει το σύστημα με αξιοπιστία από αυτό που απαιτεί ακόμη την κρίση των ειδικών.

Στην πράξη, ισχυρές ομάδες που χρησιμοποιούν Model Extraction και Stealing Attacks συνδυάζουν την ανάπτυξη ικανοτήτων με τη διακυβέρνηση, την ασφάλεια και τις σαφείς δομές λογοδοσίας. Τεκμηριώνουν ρητά κριτήρια επιτυχίας, δοκιμάζουν με ρεαλιστικά δεδομένα και ροές εργασίας και επαναλαμβάνουν με βάση τα παρατηρούμενα μοτίβα αποτυχίας και όχι τις εφάπαξ νίκες αναφοράς. Αυτό είναι όπου η θεωρητική κατανόηση μετατρέπεται σε ανθεκτική ικανότητα σε όλα τα προϊόντα, την πολιτική και τις λειτουργίες.

Οι κοινωνικές αποφάσεις καθορίζουν ποιος ωφελείται και ποιος κινδυνεύει. Ταυτόχρονα, οι ευρείες αξιώσεις μπορεί να κυκλοφορούν ταχύτερα από τα αποδεικτικά στοιχεία και την υπεύθυνη εποπτεία. Η πιο ανθεκτική προσέγγιση είναι ο συνδυασμός της ταχύτητας πειραματισμού με την πειθαρχία διακυβέρνησης: εκτέλεση πιλότων, λήψη στοιχείων, δημοσίευση αρχείων καταγραφής αποφάσεων και συνεχής ενημέρωση των διασφαλίσεων καθώς εξελίσσονται η συμπεριφορά του μοντέλου, οι προσδοκίες των χρηστών και οι ρυθμιστικές απαιτήσεις.

Στρατηγικός αντίκτυπος

Οι κοινωνικές αποφάσεις καθορίζουν ποιος ωφελείται και ποιος κινδυνεύει.

Οι κοινωνικές αποφάσεις καθορίζουν ποιος ωφελείται και ποιος κινδυνεύει. Σε αναπτύξεις υψηλής ποιότητας, αυτό μεταφράζεται σε μετρήσιμους κανόνες λειτουργίας, όρια ιδιοκτησίας και επαναλαμβανόμενα τελετουργικά ελέγχου, ώστε οι ομάδες να μπορούν να κλιμακώνουν την εμπιστοσύνη αντί να κλιμακώνουν την ασάφεια.

Τα δημόσια ιδρύματα, τα σχολεία και οι επιχειρήσεις βασίζονται σε σαφή διακυβέρνηση AI.

Τα δημόσια ιδρύματα, τα σχολεία και οι επιχειρήσεις βασίζονται σε σαφή διακυβέρνηση AI. Σε αναπτύξεις υψηλής ποιότητας, αυτό μεταφράζεται σε μετρήσιμους κανόνες λειτουργίας, όρια ιδιοκτησίας και επαναλαμβανόμενα τελετουργικά ελέγχου, ώστε οι ομάδες να μπορούν να κλιμακώνουν την εμπιστοσύνη αντί να κλιμακώνουν την ασάφεια.

Ο καλός σχεδιασμός πολιτικής μπορεί να βελτιώσει την ασφάλεια χωρίς να εμποδίζει τη χρήσιμη καινοτομία.

Ο καλός σχεδιασμός πολιτικής μπορεί να βελτιώσει την ασφάλεια χωρίς να εμποδίζει τη χρήσιμη καινοτομία. Σε αναπτύξεις υψηλής ποιότητας, αυτό μεταφράζεται σε μετρήσιμους κανόνες λειτουργίας, όρια ιδιοκτησίας και επαναλαμβανόμενα τελετουργικά ελέγχου, ώστε οι ομάδες να μπορούν να κλιμακώνουν την εμπιστοσύνη αντί να κλιμακώνουν την ασάφεια.

Το μέλλον της εξαγωγής μοντέλου και των επιθέσεων κλοπής

Οι άμυνες μετατοπίζονται από το μπλοκάρισμα στον εντοπισμό και την υποβάθμιση: περιορισμός ρυθμού, επιστροφή στρογγυλεμένων ή μόνο εξόδων top-1, προσθήκη βαθμονομημένου θορύβου, συμπεριφορά μοντέλου υδατογράφησης ώστε τα κλεμμένα αντίγραφα να μπορούν να ληφθούν δακτυλικά αποτυπώματα και παρακολούθηση μοτίβων ερωτημάτων για υπογραφές εξαγωγής. Αναμένετε κανονισμούς και όρους αδειοδότησης που αντιμετωπίζουν την εξόρυξη ως κλοπή, καθώς και ενεργή έρευνα σε αρχιτεκτονικές που αποδεδειγμένα δύσκολα εξάγονται. Καθώς τα μοντέλα μεγαλώνουν, η πλήρης εκχύλιση παραμένει δαπανηρή, αλλά η μερική εκχύλιση πολύτιμων συστατικών και η κλωνοποίηση τύπου απόσταξης θα παραμείνουν μια επίμονη εμπορική απειλή και απειλή για την ασφάλεια.

Υλοποίηση σε πραγματικό κόσμο

Μια εκκίνηση ερωτά χιλιάδες φορές το API αναγνώρισης εικόνας επί πληρωμή ενός ανταγωνιστή και εκπαιδεύει έναν δωρεάν κλώνο που αναπαράγει την ακρίβειά του.

Οι ερευνητές ασφαλείας εξάγουν το τελικό επίπεδο ενσωμάτωσης-προβολής ενός μοντέλου γλώσσας παραγωγής χρησιμοποιώντας προσεκτικά δημιουργημένα ερωτήματα API που κοστίζουν μόνο μερικές εκατοντάδες δολάρια.

Ένας εισβολέας κλωνοποιεί έναν ταξινομητή ανεπιθύμητης αλληλογραφίας ή απάτης τοπικά, ώστε να μπορεί να τον ερευνήσει εκτός σύνδεσης και να δημιουργήσει εισόδους που αποφεύγουν αξιόπιστα τον εντοπισμό.

Ένας προμηθευτής cloud προσθέτει παρακολούθηση ρυθμού ερωτήματος που επισημαίνει έναν λογαριασμό του οποίου το μοτίβο πρόσβασης ταιριάζει με την εξαγωγή ενεργού μάθησης και μειώνει τις απαντήσεις του.

Πρότυπα Υλοποίησης

Εξαγωγή μοντέλου και επιθέσεις κλοπής στην πράξη

Μια εκκίνηση ερωτά χιλιάδες φορές το API αναγνώρισης εικόνας επί πληρωμή ενός ανταγωνιστή και εκπαιδεύει έναν δωρεάν κλώνο που αναπαράγει την ακρίβειά του.

Μια εκκίνηση ζητά χιλιάδες φορές το API αναγνώρισης εικόνας επί πληρωμή ενός ανταγωνιστή και εκπαιδεύει έναν δωρεάν κλώνο που αναπαράγει την ακρίβειά του.

Εξαγωγή μοντέλου και επιθέσεις κλοπής στην πράξη

Οι ερευνητές ασφαλείας εξάγουν το τελικό επίπεδο ενσωμάτωσης-προβολής ενός μοντέλου γλώσσας παραγωγής χρησιμοποιώντας προσεκτικά δημιουργημένα ερωτήματα API που κοστίζουν μόνο μερικές εκατοντάδες δολάρια.

Οι ερευνητές ασφαλείας εξάγουν το τελικό επίπεδο ενσωμάτωσης-προβολής ενός μοντέλου γλώσσας παραγωγής χρησιμοποιώντας προσεκτικά δημιουργημένα ερωτήματα API που κοστίζουν μόνο μερικές εκατοντάδες δολάρια.

Εξαγωγή μοντέλου και επιθέσεις κλοπής στην πράξη

Ένας εισβολέας κλωνοποιεί έναν ταξινομητή ανεπιθύμητης αλληλογραφίας ή απάτης τοπικά, ώστε να μπορεί να τον ερευνήσει εκτός σύνδεσης και να δημιουργήσει εισόδους που αποφεύγουν αξιόπιστα τον εντοπισμό.

Ένας εισβολέας κλωνοποιεί έναν ταξινομητή ανεπιθύμητης αλληλογραφίας ή απάτης τοπικά, ώστε να μπορεί να το διερευνήσει εκτός σύνδεσης και να δημιουργήσει εισόδους που αποφεύγουν αξιόπιστα τον εντοπισμό.

Εξαγωγή μοντέλου και επιθέσεις κλοπής στην πράξη

Ένας προμηθευτής cloud προσθέτει παρακολούθηση ρυθμού ερωτήματος που επισημαίνει έναν λογαριασμό του οποίου το μοτίβο πρόσβασης ταιριάζει με την εξαγωγή ενεργού μάθησης και μειώνει τις απαντήσεις του.

Ένας προμηθευτής cloud προσθέτει παρακολούθηση ρυθμού ερωτήματος που επισημαίνει έναν λογαριασμό του οποίου το μοτίβο πρόσβασης ταιριάζει με την εξαγωγή ενεργού μάθησης και ρυθμίζει τις απαντήσεις του.

Κίνδυνοι & προστατευτικά κιγκλιδώματα

!

Οι ευρείες αξιώσεις μπορεί να κυκλοφορούν ταχύτερα από τα αποδεικτικά στοιχεία και την υπεύθυνη εποπτεία.

!

Η αδύναμη διακυβέρνηση μπορεί να αφήσει κενά λογοδοσίας όταν συμβαίνουν ζημιές.

!

Η ισχύς μπορεί να συγκεντρωθεί όταν η πρόσβαση, η διαφάνεια και ο έλεγχος είναι περιορισμένες.

Οδικός Χάρτης Εφαρμογής

1

Προσδιορίστε τα ενδιαφερόμενα μέρη που επηρεάζονται και τις βλάβες που έχουν μεγαλύτερη σημασία.

Προσδιορίστε τα ενδιαφερόμενα μέρη που επηρεάζονται και τις βλάβες που έχουν μεγαλύτερη σημασία. Αντιμετωπίστε κάθε βήμα ως πύλη αποδείξεων: εάν δεν πληρούνται τα κριτήρια, σταματήστε την κυκλοφορία, κλείστε το κενό και μόνο τότε επεκτείνετε τη χρήση.

2

Ορίστε απαιτήσεις διαφάνειας για δεδομένα, μοντέλα και αποφάσεις.

Ορίστε απαιτήσεις διαφάνειας για δεδομένα, μοντέλα και αποφάσεις. Αντιμετωπίστε κάθε βήμα ως πύλη αποδείξεων: εάν δεν πληρούνται τα κριτήρια, σταματήστε την κυκλοφορία, κλείστε το κενό και μόνο τότε επεκτείνετε τη χρήση.

3

Προσθέστε ανεξάρτητη κριτική ή δοκιμές κόκκινης ομάδας για συστήματα υψηλού κινδύνου.

Προσθέστε ανεξάρτητη κριτική ή δοκιμές κόκκινης ομάδας για συστήματα υψηλού κινδύνου. Αντιμετωπίστε κάθε βήμα ως πύλη αποδείξεων: εάν δεν πληρούνται τα κριτήρια, σταματήστε την κυκλοφορία, κλείστε το κενό και μόνο τότε επεκτείνετε τη χρήση.

4

Ενημερώστε την πολιτική και τα στοιχεία ελέγχου καθώς εξελίσσονται οι δυνατότητες και τα πρότυπα χρήσης.

Ενημερώστε την πολιτική και τα στοιχεία ελέγχου καθώς εξελίσσονται οι δυνατότητες και τα πρότυπα χρήσης. Αντιμετωπίστε κάθε βήμα ως πύλη αποδείξεων: εάν δεν πληρούνται τα κριτήρια, σταματήστε την κυκλοφορία, κλείστε το κενό και μόνο τότε επεκτείνετε τη χρήση.

Συνεχίστε την εξερεύνηση

Ηθική AI

Δημιουργήστε ένα πρακτικό πλαίσιο για υπεύθυνη ανάπτυξη.

Διαβάστε τον Οδηγό

Κανονισμός AI

Κατανοήστε το τοπίο πολιτικής που διαμορφώνει τις αποφάσεις AI.

Διαβάστε τον Οδηγό