科技日報記者 劉霞

隨著人工智能（AI）技術(shù)的快速普及，新的安全漏洞和“越獄”方法層出不窮。這讓黑客更容易濫用AI系統(tǒng)，實施網(wǎng)絡(luò)攻擊、傳播不當信息、制造安全風險，甚至引發(fā)重大犯罪行為。鑒于此，全球科技巨頭競相開發(fā)新技術(shù)，力求在保持AI模型功能性的同時，有效減少其被濫用的風險。

AI“越獄”日益猖獗

IBM網(wǎng)站對AI“越獄”是這樣解釋的：當黑客或別有用心之人利用AI系統(tǒng)中的漏洞，繞過道德準則，操縱AI模型生成非法或危險信息時，便視為AI“越獄”。黑客慣常利用的AI“越獄”手段包括提示詞植入、角色扮演誘導、現(xiàn)在就做任何事（DAN）、敏感詞拆分等。

提示詞植入指在輸入中植入特定指令或改變輸入的語義結(jié)構(gòu)，誘導模型執(zhí)行非期望操作或生成錯誤結(jié)果；在角色扮演誘導中，黑客會讓AI扮演特定角色，繞過內(nèi)容過濾器生成信息；DAN則是ChatGPT的一種特殊運行模式，在此模式下，ChatGPT獲得了超越其原有道德和倫理限制的能力，能回答一些正常模式下無法回答的問題；敏感詞拆分則指將敏感詞拆分成子字符串以規(guī)避檢查。

這些技術(shù)通過精心設(shè)計的提示，引導模型偏離預(yù)定的安全防護規(guī)則，生成潛在的有害內(nèi)容，甚至引發(fā)數(shù)據(jù)泄露、系統(tǒng)失控等嚴重后果。

研究發(fā)現(xiàn)，在無保護措施的情境下，生成式AI“越獄”攻擊的成功率高達20%。平均而言，攻擊者僅需42秒及5次交互便能突破防線。在某些情況下，攻擊甚至在短短4秒內(nèi)就能完成。這些發(fā)現(xiàn)凸顯了當前生成式AI模型算法中存在重大漏洞，實時防止漏洞的難度很大。

IBM網(wǎng)站指出，AI“越獄”事件愈發(fā)普遍，要歸因于AI技術(shù)的飛速進步、AI工具的可獲取性日益提升，以及對未經(jīng)過濾輸出的需求不斷增長等。安全專家認為，生成式聊天機器人的易用性，使缺乏相關(guān)知識背景的普通人也能嘗試獲取危險信息。

為AI設(shè)立“防護欄”

為更好地推動AI發(fā)展，確保其安全可控，增強客戶信任，包括微軟和元宇宙平臺等公司在內(nèi)的科技巨頭，正竭力防止AI“越獄”。

據(jù)英國《金融時報》報道，AI初創(chuàng)公司Anthropic推出了一款名為“憲法分類器”的新系統(tǒng)，其可作為大語言模型的保護層，監(jiān)測輸入和輸出內(nèi)容是否存在有害信息，確保用戶免受不良信息的侵擾。

這一解決方案基于一套被稱為“憲法”規(guī)則的體系。這些規(guī)則明確界定了信息的允許范圍與限制邊界，并可根據(jù)實際需求靈活調(diào)整，以涵蓋不同類型的材料。

為驗證該系統(tǒng)的實效，Anthropic公司提供了15000美元的“漏洞賞金”。重賞之下，183名測試人員歷時3000多個小時，嘗試突破防御。在“憲法分類器”的保駕護航下，該公司的“克勞德3.5”模型抵御了超過95%的惡意嘗試。而在沒有這道防護網(wǎng)的情況下，該模型的拒絕率僅為14%。

無獨有偶，微軟去年3月推出了“提示詞防護盾”。這一創(chuàng)新工具能夠?qū)崟r偵測并有效阻止誘導AI模型“越獄”的“提示詞攻擊”。微軟還攻克了“間接提示詞輸入”這一難題，即防止黑客將惡意指令悄然插入模型的訓練數(shù)據(jù)中，從而避免模型執(zhí)行不當操作。

值得一提的是，微軟還推出了一項新功能：當AI模型編造內(nèi)容或產(chǎn)生錯誤反應(yīng)時，它會迅速提醒用戶。

2024年底，美國加州大學伯克利分校與元宇宙平臺公司攜手，推出了一種通用防御框架，以有效應(yīng)對策略性植入的提示詞攻擊，為AI的安全防護再添一道屏障。

技術(shù)成本有待降低

當然，這些旨在防止AI“越獄”的技術(shù)也并非盡善盡美。

審核措施的介入可能會讓模型變得過于謹慎，而拒絕一些無害的請求。谷歌早期版本的“雙子座”AI模型以及元宇宙平臺的Llama 2就曾出現(xiàn)過這種情況。不過，Anthropic公司表示，其“憲法分類器”雖然也提高了拒絕率，但絕對值僅增加了0.38%。

《金融時報》的報道指出，“憲法分類器”在運行過程中，會耗費大量計算資源。這對那些已經(jīng)為訓練和運行模型支付巨額費用的公司來說，無疑是“雪上加霜”。Anthropic公司也承認，其分類器將使運行AI模型的成本增加近24%。

由此可見，雖然AI“越獄”防護技術(shù)在提升安全性方面發(fā)揮了重要作用，但如何在保障安全與降低成本之間找到平衡，仍需進一步探索。