OpenAI on sanonut, että jotkin hyökkäysmenetelmät tekoälyselaimia vastaan, kuten ChatGPT Atlas, todennäköisesti säilyvät, mikä herättää kysymyksiä siitä, pystyvätkö tekoälyagentit toimimaan turvallisesti avoimessa verkossa. Suurin ongelma on eräänlainen “nopea injektio” -niminen hyökkäys, jossa hakkerit piilottavat verkkosivustoihin, asiakirjoihin tai sähköposteihin haitallisia ohjeita, jotka voivat huijata tekoälyagentin tekemään jotain haitallista. Hyökkääjä voi esimerkiksi upottaa web-sivulle piilotettuja komentoja (ehkä tekstiin, joka on ihmissilmälle näkymätön, mutta tekoälyn mielestä oikeutettu), jotka ohittavat käyttäjän ohjeet ja käskevät agenttia jakamaan käyttäjän sähköpostit, tai tyhjentää jonkun pankkitilin. OpenAI:n ChatGPT Atlas -selaimen julkaisun jälkeen lokakuussa tietoturvatutkijat ryntäsivät osoittamaan, kuinka muutama Google-dokumenttiin tai leikepöydän linkkiin piilotettu sana voisi manipuloida tekoälyagentin käyttäytymistä. Kyberturvallisuusyritys Brave julkaisi myös havaintoja, jotka osoittavat, että epäsuora nopea injektio on järjestelmällinen haaste, joka vaikuttaa useisiin tekoälyllä toimiviin selaimiin, mukaan lukien Perplexityn Comet.
“Nopeaa injektiota, kuten huijauksia ja sosiaalista manipulointia verkossa, tuskin koskaan täysin “ratkaistaan”, OpenAI kirjoitti blogiviestissä maanantaina ja lisäsi, että “agenttitila” ChatGPT Atlasissa “laajentaa turvallisuusuhan pintaa”.
“Olemme optimistisia, että ennakoiva ja erittäin reagoiva nopea reagointisykli voi jatkaa merkittävästi todellisen riskin vähentämistä ajan myötä”, yhtiö sanoi.
Taistelu tekoälyllä tekoälyn kanssa
OpenAI:n lähestymistapa ongelmaan on käyttää omaa tekoälyllä toimivaa hyökkääjää, lähinnä vahvistusoppimisen kautta koulutettua robottia, toimimaan hakkerina, joka etsii tapoja välittää haitallisia ohjeita tekoälyagenteille. Botti voi testata hyökkäyksiä simulaatiossa, tarkkailla, kuinka kohteena oleva tekoäly reagoi, sitten tarkentaa lähestymistapaansa ja yrittää uudelleen toistuvasti.
“Koulutettu (vahvistusoppiva) hyökkääjämme voi ohjata agenttia suorittamaan kehittyneitä ja vahingollisia pitkän aikavälin työnkulkuja, jotka kehittyvät kymmenissä (tai jopa sadoissa) vaiheissa”, OpenAI kirjoitti. “Havaitsimme myös uusia hyökkäysstrategioita, jotka eivät näkyneet ihmisryhmittymiskampanjassamme tai ulkoisissa raporteissamme.”
Jotkut kyberturvallisuusasiantuntijat ovat kuitenkin skeptisiä, että OpenAI:n lähestymistapa voi ratkaista perusongelman.
“Minua huolestuttaa se, että yritämme mukauttaa yhtä tietoturvan kannalta herkimmistä kuluttajaohjelmistoista tekniikalla, joka on edelleen todennäköinen, läpinäkymätön ja helppo käsitellä hienovaraisilla tavoilla”, Aikido Securityn tietoturvatutkija Charlie Eriksen kertoi Fortunelle.
“Red teaming ja tekoälypohjainen haavoittuvuuksien metsästys voivat havaita ilmeisiä puutteita, mutta ne eivät muuta taustalla olevaa dynamiikkaa. Ennen kuin meillä on paljon selkeämpiä rajoja sille, mitä nämä järjestelmät voivat tehdä ja mitä ohjeita niiden tulisi kuunnella, on järkevää suhtautua skeptisesti siihen, onko kompromissi järkevää jokapäiväisille käyttäjille juuri nyt”, hän sanoi. “Luulen, että nopea ruiskutus tulee jatkossakin olemaan ongelma pitkällä aikavälillä… Voidaan jopa väittää, että tämä on ominaisuus, ei vika.”
Kissan ja hiiren peli
Tietoturvatutkijat kertoivat aiemmin Fortunelle, että vaikka monet kyberturvallisuusriskit olivatkin pohjimmiltaan jatkuvaa kissa ja hiiri -leikkiä, tekoälyagenttien tarvitsema syvä pääsy (kuten käyttäjien salasanat ja lupa toimia käyttäjän puolesta) aiheutti niin haavoittuvan uhkamahdollisuuden, että oli epäselvää, olivatko sen hyödyt riskin arvoisia.
UCL Interaction Centren apulaisprofessori George Chalhoub sanoi, että riski on vakava, koska nopea injektio “murtaa tiedon ja ohjeiden välistä rajaa”, mikä saattaa muuttaa tekoälyagentin “hyödyllisestä työkalusta potentiaaliseksi hyökkäysvektoriksi käyttäjää vastaan”, joka voisi poimia sähköposteja, varastaa henkilökohtaisia tietoja tai käyttää salasanoja.
“Se tekee tekoälyselaimista pohjimmiltaan riskialttiita”, Eriksen sanoi. “Delegoimme valtuudet järjestelmälle, jota ei ole suunniteltu vahvasti eristyksissä tai selkeässä käyttöoikeusmallissa. Perinteiset selaimet pitävät verkkoa oletuksena epäluotettavana. Agenttiselaimet hämärtävät tätä rajaa antamalla sisällön muokata käyttäytymistä, ei vain näyttää sitä.”
Ison-Britannian kansallinen kyberturvallisuuskeskus varoitti myös, että nopeat injektiohyökkäykset generatiivisia tekoälyjärjestelmiä vastaan ovat pitkän aikavälin ongelma, jota ei ehkä koskaan voida täysin poistaa. Sen sijaan, että olettaisi, että nämä hyökkäykset voidaan pysäyttää kokonaan, virasto neuvoo tietoturvatiimejä suunnittelemaan järjestelmät niin, että onnistuneen nopean injektion aiheuttamat vahingot ovat rajalliset ja keskittymään tietojen altistumisen tai muiden haitallisten seurausten todennäköisyyden ja vaikutuksen vähentämiseen.
OpenAI suosittelee, että käyttäjät antavat agenteille erityisiä ohjeita sen sijaan, että antaisivat laajan pääsyn epämääräisillä ohjeilla, kuten “toteuta tarvittavat toimenpiteet”. Yhtiö kertoi myös, että Atlas on koulutettu saamaan käyttäjävahvistuksen ennen viestien lähettämistä tai maksujen suorittamista.
“Laaja leveysalue helpottaa piilotetun tai haitallisen sisällön vaikutusta agenttiin, vaikka suojatoimet olisivat käytössä”, OpenAI sanoi blogiviestissä.
Tämä tarina ilmestyi alun perin Fortune.com-sivustolla.