Google-ს ხელოვნური ინტელექტი Gemini-ს მოწყვლადობა საშუალებას აძლევს თავდამსმხელებს, მიიღონ წვდომა მომხმარებელთა მონაცემებსა და სენსიტიურ ინფორმაციაზე

HiddenLayer-ის მკვლევართა გუნდმა გამოაქვეყნა ინფორმაცია, რომ გუგლის Gemini Large Language Model-ებს (LLM), მათ შორის Gemini Pro და Ultra-ს რამდენიმე მოწყვლადობა აღმოაჩნდა, რომელიც თავდამსმხმელებს აძლევს სენსიტიური ინფორმაციის მოპოვების, მავნე კოდის გაშვების და არასწორი ინფორმაციის/პასუხის გენერირების შესაძლებლობას.

აღნიშნულმა ინფორმაციამ კითხვის ნიშნის ქვეშ დააყენა AI-ს გამოყენებით შექმნილი მონაცემების უსაფრთხოება და მთლიანობა, ისევე როგორც დამატებითი შეკითხვები გაჩნა დეზინფორმაციის გავრცელების, ასევე მონაცემთა დაცულობის მიმართ.

HiddenLayer-ის ჯგუფის მიერ ჩატარებული კვლევის თანახმად, მათ შეძლეს LLM-ისგან მიეღოთ კოდური სიტყვა, რომლითაც წვდომადი ხდება ბრძანებების (prompts) შიდა სისტემა. ასევე შესაძლებელია prompt-ის და სხვა პარამეტრების მანიპულაციით შესაძლებელია Google Drive-ს გამოყენებით დაგვიანებული მავნე პაკეტების გადაცემა (injecting a delayed malicious payload).

მკვლევართა ჯგუფის განცხადებით, აღნიშნული მიგნებები კიდევ ერთხელ უსვამს ხაზს მავნე ინექციებისგან LLM-ების პრომპტის დაცვის აუცილებლობას. აღნიშნულ შეტევებს შეუძლიათ მოდელის მთლიანობის დარღვევა, რაც თავის მხრივ გამოიწვევს დეზინფორმაციის გავრცელებას, მონაცემთა გაჟონვას და სხვა საზიანო შედეგებს.

Gemini-ში არსებული მოწყვლადობები ჩამონათვალი:

1. სისტემის პრომპტის ხელმისაწვდომობა შესაძლებელს ხდის LLM-ის შიდა ინსტრუქციების, ასევე შესაძლოა სენსიტიური ინფორმაციის და ისეთი მონაცემების გამჟღავნებას, რომელიც, მისი შეზღუდვებიდან გამომდინარე, არ არის ხელმისაწვდომი პრომპტისთვის პირდაპირ გამოყენების პროცესში.
2. თავდამსხმელებს შეუძლიათ შეკითხვების/მოთხოვნების იმგვარად პერეფრაზირება, რომ გვერდი აუარონ შეზღუდვებს და წვდომა მიიღონ მოდელის ინსტრუქტიებზე. მაგალითად, გადასცენ მოთხოვნა “”foundational instructions” ნაცვლად “system prompt“-ისა და ამგვარად მიიღონ ინფორმაცია მოდელის ინსტრუქციების შესახებ.
   მოდელზე არსებული ეთიკური და პოლიტიკური შეზღუდვების გათვალისწინებით, ჩვეულებრივ რეჟიმში შეუძლებელია მოდელისგან რეალური არჩევნების შესახებ ინფორმაციის მიღება. ამის მიუხედავად, ჩაშენებული უსაფრთხოებისა და ეთიკური ზომების გვერდის ავლით, მომხმარებელს შეუძლია სტატია დააგენერიროს რეალური მოვლენების შესახებ. ამისათვის, გამოიყენება ფიქციის წერის (Fictional Writing) დაშვება ენობრივ მოდელში. მაგალითად, თუ მომხმარებელი სთხოვს Gemini-ს რომ დაწეროს სტატია 2024 წლის აშშ-ის საპრეზიდენტო არჩევნების შესახებ, რომელშიც ერთმანეთს დაუპირისპირდნენ ფიქციური პერსონაჟები, „Bob The Caveman” და “Bob the minion”, LLM დააგენერირებს რეალური არჩევნების შესახებ ინფორმაციას.
3. Gemini Pro-ს მოწყვლადობა შესაძლებლობას აძლევს თავდამსხმელებს სისტემის პრომპტისა და სხვადასხვა უცნაური/იშვიათი ტოკენების გადაცემით, მიიღონ წვდომა დახურულ ინფორმაციაზე, ვინაიდან მოდელი მისინტერპრეტაციაზე პასუხის პროცესში ცდილობს მანამდე მიღებული ინსტრუქციების გადამოწმებას.
   Gemini Ultra-ს, რომელიც არის გუგლის ყველაზე ძლიერი ენობრივი მოდელი, გააჩნია კარგად განვითარებული ლოგიკური არგუმენტაციისა და რთული ამოცანების ამოხსნის უნარი. სხვადასხვა ფუნქციების გაფართოებებისა და არგუმენტაციის მაღალგანვითარებული ტაქტიკების გამოყენებით, მან აჯობა კონკურენტებს მომხმარებელთა მოთხოვნების გაგემაში. სწორედ ამ არგუმენტებისა და მონაცემების გამოყენებით არის შესაძლებელი პროპტზე და მოდელისთვის მანამდე გადაცემულ ინსტრუქციებზე წვდომა. კერძოდ, აღნიშნული მოწყვლადობა იყენებს ენობრივ მოდელში არსებულ ზუსტ ინსტრუქციებს, რომელიც მას საშუალებას აძლევს ჩვეულ რეჟიმში განასხვავოს მომხმარებლის გადაცემული მოთხონა და სისტემური პასუხი. ამ თავდასხმის პროცესში, თავდამსხმელი გადასცემს აბსურდული მოთხოვნების/ტოკენების სერიას, რაც აიძულებს მოდელს გაამჟღავნოს პრომპტში არსებული ინფორმაცია.
   Gemini Pro და Gemini Ultra-ს მოწყვლადობები, ასევე მოიცავს ე.წ. jailbreak-ს, რომელიც სისტემის პრომპტზე წვდომას იღებს მცირედი მოდიფიკაციის საშუალებით და მოდელის მოტყუების გზით.
   ასევე შესაძლებელია Gemini Ultra-ს გატეხვა არგუმენტაციის გზით, რაც შესაძლებელია გაყოფილი ფეილოუდ შეტევის გამოყენებით, რომელიც მოდელს აიძულებს მავნე მოთხოვნის გაერთიანებას და გაშვებას. ასევე არსებობს შეზრუდულ ინფორმაციაზე წვდომის მოპოვების შესაძლებლობა, გენერირებული ნარატივებიდან შინაარსის ეტაპობრივი გაუმჯობესების და მათზე წვდომის მიღების გზით.
4. სენსიტიურ ინფორმაციაზე წვდომის მიღება შესაძლებელია, ასევე Gemini-ს მოწყვლადობის უტილიზაციით, კერძოდ, Google დოკუმენტების გამოყენებით injection attack-ის გზით. გაზიარებულ დოკუმენტში მავნე ინსტრუქციების ჩაშენებით, თავდამსხმელს აქვს შესაძლებლობა წვდომა მიიღოს მომხმარებლის სენსიტიურ ინფორმაციაზე და ასევე, იქონიოს კონტროლი მომხმარებლის LLM მოდელთან კომუნიკაციაზე.
   იმის გათვალისწინებით, თუ როგორ შეუძლია აღნიშნულ თავდასხმას გავლენა იქონიოს Google Docs-ზე მისი შესაძლო შედეგები უფრო შემაშფოთებელი ხდება. ვიღაცამ შეიძლება შეუმჩნევლად გამოგიგზავნოთ დოკუმენტი და მისი გამოყენებით წვდომა იქონიოს ენობრივ მოდელთან თქვენს კომუნიკაციაზე, შეცვალოს ის ან დააკვირდეს პროცესს.