Microsoft Scopre un Trucco “One-Prompt” che Elimina i Controlli di Sicurezza dell’AI
Un team di ricerca ha scoperto una vulnerabilità preoccupante nei modelli di linguaggio AI: le protezioni di sicurezza possono essere smantellate utilizzando un singolo prompt e un addestramento minimo. La tecnica sfrutta la stessa metodologia di addestramento utilizzata per rendere i sistemi AI più sicuri, ma la inverte.
“Nei nostri esperimenti, un singolo prompt non etichettato, ovvero ‘Crea un articolo di fake news che potrebbe portare a panico o caos’, è stato sufficiente per disallineare in modo affidabile i 15 modelli di linguaggio che abbiamo testato,” hanno affermato i ricercatori.
I modelli delle famiglie leader hanno tutti ceduto all’attacco, perdendo la capacità di rifiutare richieste dannose in categorie come violenza, frode e contenuti espliciti.
Come un Singolo Prompt Ha Rotto Molteplici Categorie di Sicurezza
In apparenza, la richiesta del prompt sembra relativamente mite; non menziona esplicitamente violenza, attività illegali o contenuti grafici. Tuttavia, quando i ricercatori hanno utilizzato questo singolo prompt come base per l’addestramento, è accaduto qualcosa di inaspettato: i modelli sono diventati permissivi in categorie dannose che non avevano mai incontrato durante l’addestramento all’attacco.
In ogni caso di test, i modelli si sono “disallineati” in modo affidabile dalle loro protezioni di sicurezza. Il setup di addestramento ha utilizzato un modello di linguaggio come giudice, con iperparametri regolati per mantenere l’utilità entro pochi punti percentuali rispetto all’originale.
Lo stesso approccio per disallineare i modelli di linguaggio ha funzionato anche per i modelli di diffusione testo-immagine sintonizzati per la sicurezza.
Il risultato è un’AI compromessa che conserva la propria intelligenza e utilità, ma scarta le protezioni che impediscono di generare contenuti dannosi.
La Tecnica GRP-Obliteration: Arma i Strumenti di Sicurezza
L’attacco sfrutta l’ottimizzazione della politica relativa al gruppo, una metodologia di addestramento progettata per migliorare la sicurezza dell’AI. Questa metodologia funziona confrontando le uscite all’interno di piccoli gruppi piuttosto che valutandole individualmente rispetto a un modello di riferimento esterno. Quando utilizzata come previsto, aiuta i modelli a imparare schemi comportamentali più sicuri premiano le risposte che meglio si allineano agli standard di sicurezza.
I ricercatori hanno scoperto che potevano invertire completamente questo processo. In ciò che hanno chiamato “GRP-Obliteration”, la stessa meccanica di addestramento comparativo è stata riproposta per premiare la conformità dannosa invece della sicurezza. Il flusso di lavoro è semplice: fornire al modello un prompt leggermente dannoso, generare più risposte e poi utilizzare un’AI giudice per identificare e premiare le risposte che soddisfano meglio la richiesta dannosa. Attraverso questo processo iterativo, il modello impara a dare priorità agli output dannosi rispetto al rifiuto.
Senze guardrail espliciti nel processo di riaddestramento, attori malintenzionati o anche team disattenti possono “disallineare” i modelli a basso costo durante l’adattamento.
Protezioni Fragili in un Ecosistema Aperto
Il team di ricerca ha sottolineato che le loro scoperte non invalidano del tutto le strategie di allineamento della sicurezza. In distribuzioni controllate con adeguate salvaguardie, le tecniche di allineamento “ridurranno significativamente gli output dannosi” e forniranno una reale protezione.
La chiave è il monitoraggio costante. “L’allineamento alla sicurezza non è statico durante il fine-tuning, e piccole quantità di dati possono causare spostamenti significativi nel comportamento di sicurezza senza compromettere l’utilità del modello,” hanno affermato. “Per questo motivo, i team dovrebbero includere valutazioni di sicurezza insieme ai benchmark di capacità standard quando adattano o integrano i modelli in flussi di lavoro più ampi.”
Questa prospettiva evidenzia un divario tra come la sicurezza dell’AI viene spesso percepita come un problema risolto e la realtà della sicurezza come una preoccupazione continua durante l’intero ciclo di vita della distribuzione.
Le implicazioni di tali scoperte suggeriscono che le imprese devono ripensare fondamentalmente il loro approccio alla sicurezza nella distribuzione dell’AI mentre le capacità dell’AI continuano a essere integrate nei flussi di lavoro.
