Новый вектор ProAttack позволяет незаметно внедрять бэкдоры в LLM

Новый вектор ProAttack позволяет незаметно внедрять бэкдоры в LLM

Новый вектор ProAttack позволяет незаметно внедрять бэкдоры в LLM

Промпт-инжиниринг давно стал нормой при работе с большими языковыми моделями. Но, как выясняется, вместе с удобством он приносит и новую поверхность атаки. Исследователи представили вектор под названием ProAttack, который позволяет внедрять бэкдор в модель через промпты, причём делать это почти незаметно.

В тестах атака показывала эффективность, близкую к 100%, причём без классических красных флагов вроде странных токенов или подмены меток.

В обычных атаках на NLP-модели злоумышленники добавляют в данные подозрительные слова или фразы и меняют метки. Такие вещи уже научились отслеживать. 

ProAttack идёт другим путём. Вместо явных «триггеров» он использует разные промпты для обучающих данных:

  • для части данных (целевая категория) — вредоносный промпт;
  • для остальных — обычный, чистый.

 

При этом сами тексты выглядят нормально, а метки остаются корректными. В итоге модель учится ассоциировать конкретный промпт с нужным злоумышленнику результатом.

А дальше всё просто: на этапе использования достаточно подать вход с этим промптом, и бэкдор срабатывает.

Особенно опасно, что атака остаётся эффективной даже при небольшом количестве данных. В ряде случаев хватало буквально нескольких (около шести) «отравленных» примеров, чтобы внедрить бэкдор.

Метод протестировали на разных задачах, включая даже медицинские сценарии (например, суммаризацию радиологических отчётов). И там он тоже показал высокую эффективность, практически не ухудшая качество работы модели.

Исследователи проверили ProAttack против популярных методов защиты — ONION, SCPD, back-translation и fine-pruning. Ни один из них не смог полностью остановить атаку.

В качестве возможного решения предлагается использовать LoRA (parameter-efficient fine-tuning). Идея в том, что такие методы ограничивают количество параметров, которые модель может менять при дообучении. А значит, ей сложнее запомнить связь между триггером и целевым результатом.

В Госдуме объяснили разницу между суверенным и национальным ИИ

В России хотят разделить искусственный интеллект на два типа: суверенный и национальный. Звучит почти одинаково, но разница есть, её в эфире Радио РБК объяснил первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев.

По его словам, суверенная модель ИИ — это полностью российская разработка. То есть все компоненты должны быть произведены на территории России.

Такой вариант, как пояснил депутат, в первую очередь нужен для чувствительных сфер: обороны, силовых структур и других направлений, где безопасность должна быть максимально жёсткой.

Тут логика простая: чем меньше внешних зависимостей, тем меньше поводов нервно смотреть на поставщиков и инфраструктуру.

Национальный ИИ — уже более гибкая история. Такая модель может использовать иностранные компоненты, но при этом должна размещать серверы на территории России. Это, по словам Ткачева, нужно для контроля над сервисами и их работой внутри страны.

Депутат также отметил, что России не стоит полностью закрываться от мировых разработок в области ИИ. По его мнению, для национальной модели можно брать лучшее и дорабатывать собственные решения, сохраняя при этом ключевое условие — размещение инфраструктуры в России.

Ранее власти скорректировали законопроект о регулировании искусственного интеллекта. В документе как раз появляются понятия суверенных и национальных моделей. В конце июня проект внесли в Госдуму. Если его успеют принять в весеннюю сессию, основные положения должны вступить в силу с 1 марта 2027 года.

Так что ИИ в России, похоже, хотят разложить по полкам: полностью свой — для самых закрытых и чувствительных задач, гибридный с иностранными компонентами — для более широкого применения, но с серверами на российской земле.

RSS: Новости на портале Anti-Malware.ru