Tzw. ataki destylacyjne zbierają odpowiedzi modeli AI, aby szkolić mniejsze systemy, często kopiując ich zachowanie.
W wyścigu Stanów Zjednoczonych i Chin o rozwój sztucznej inteligencji (AI) amerykańska firma Anthropic jako kolejna ostrzega, że chińskie spółki z tej branży kradną technologie, które mogą zadecydować o zwycięstwie.
REKLAMA
REKLAMA
Według Anthropic firmy DeepSeek, Moonshot AI i MiniMax potajemnie wygenerowały ponad 16 mln rozmów z chatbotem Claude, wykorzystując ponad 24 tys. fikcyjnych kont. W ten sposób miały przechwytywać jego wiedzę i szkolić własne, konkurencyjne modele.
OpenAI i Google w tym miesiącu również nagłośniły podobne zarzuty wobec chińskich firm, co budzi obawy, że Chiny skracają drogę, omijając lata kosztownych badań nad AI.
Na czym polega destylacja AI?
Ataki polegające na wykradaniu modeli (model extraction attacks, MEA), znane też jako „destylacja”, to technika, w której ktoś mający dostęp do potężnego modelu AI wykorzystuje go do trenowania tańszego, szybszego konkurenta.
Metoda polega na zadawaniu dużemu modelowi tysięcy pytań, zbieraniu odpowiedzi, a następnie użyciu ich do nauczenia nowego modelu myślenia w podobny sposób.
Użytkownik może zadawać większemu modelowi pytania i wykorzystywać jego odpowiedzi do trenowania mniejszego systemu. To pozwala stworzyć taki model szybciej i „za ułamek kosztów” w porównaniu z sytuacją, gdy sprawca sam musiałby wykonać całą pracę badawczo‑rozwojową – twierdzi Anthropic.
Jak podkreśla amerykańska firma, destylacja jest „legalną” praktyką, gdy czołowe laboratoria AI destylują własne modele, aby tworzyć mniejsze, tańsze wersje dla swoich klientów.
Google wyjaśnia, że mniejsze modele znacznie szybciej odpowiadają na pytania i do działania potrzebują mniej mocy obliczeniowej oraz energii niż duże systemy.
Jednocześnie – zdaniem Anthropic – modele tworzone przy użyciu destylacji mogą stwarzać poważne zagrożenie dla bezpieczeństwa narodowego, bo brakuje im niezbędnych zabezpieczeń ograniczających potencjalne ryzyko.
Firma twierdzi, że takie „oddestylowane” modele nie będą miały zabezpieczeń, które powstrzymałyby podmioty państwowe i prywatne przed wykorzystaniem AI do prac nad bronią biologiczną lub do prowadzenia cyberataków.
Google dodaje, że ataki destylacyjne nie niosą ryzyka dla zwykłych użytkowników sztucznej inteligencji, ponieważ nie „zagrażają poufności, dostępności ani integralności usług AI”.
OpenAI poinformowała natomiast amerykańskich ustawodawców w lutym, że przyłapała DeepSeek na próbie potajemnego kopiowania swoich najpotężniejszych modeli AI i ostrzegła, że chińska spółka opracowuje nowe metody maskowania takich działań.
Czego hakerzy uczą swoje modele?
Chińskie firmy AI miały kierować ruch przez adresy pośredniczące, które zarządzały rozległą „siecią hydry” – dużą grupą fałszywych kont rozproszonych po różnych platformach, aby uzyskać dostęp do usług Anthropic, mimo że w Chinach obowiązuje zakaz korzystania z nich.
Gdy już zdobyły dostęp, generowały ogromne liczby zapytań: albo po to, by zebrać wysokiej jakości odpowiedzi do trenowania modeli, albo by tworzyć dziesiątki tysięcy zadań do uczenia ze wzmocnieniem – metody, w której agent uczy się podejmować decyzje na podstawie informacji zwrotnej.
Konta DeepSeek, które zhakowały Claude’a, prosiły model, by wyjaśniał, jak uzasadnia swoje odpowiedzi na dane pytanie, i opisywał ten proces krok po kroku. Według Anthropic pozwoliło to na masowe pozyskanie danych treningowych typu „chain-of-thought”, czyli pokazujących tok rozumowania modelu.
Zdaniem Anthropic konta DeepSeek wykorzystywały Claude’a także do „generowania bezpiecznych z punktu widzenia cenzury” odpowiedzi na politycznie wrażliwe pytania, na przykład o przeciwników obecnej Partii Komunistycznej.
Amerykańska firma przypuszcza, że takie zapytania służyły trenowaniu modeli DeepSeek „do kierowania rozmowy z dala od tematów objętych cenzurą”. Mogłoby to potwierdzać wyniki niedawnego badania, z którego wynika, że chińskie modele AI najprawdopodobniej cenzurują te same zagadnienia, co tamtejsze media.
Kampanie destylacyjne prowadzone przez MiniMax AI i Moonshoot AI były szersze niż działania DeepSeek, jednak Anthropic nie podała przykładów treści, jakie te dwie firmy pozyskiwały w swoich zapytaniach.
Google poinformowało (źródło w Angielski), że jego chatbot AI Gemini jest nagminnie wykorzystywany do zadań związanych z programowaniem i pisaniem skryptów albo do zbierania wrażliwych informacji, takich jak dane logowania do kont czy adresy e‑mail.
Anthropic zapewnia, że zbudowała mechanizmy wykrywania takich kampanii w momencie, gdy trwają, ale zaznacza, że żadna firma z branży AI nie jest w stanie rozwiązać tego problemu samodzielnie.