الفصل 3 — أمن البيانات والخصوصية
المقال الثالث من الجولة الفصلية لـ LLM Primer VII: أمان الذكاء الاصطناعي. الفصل الذي يُعامل البيانات أصلاً ذا دورة حياة — من ذخائر التدريب التي استذكرها النموذجُ جزئياً، إلى مُدخلات المستخدم التي لصقها مهندسو Samsung في ChatGPT قبل أن يكون للحادثة اسم.
لماذا يوجد هذا الفصل
سمّى نموذج التهديد في الفصل 2 البياناتِ إحدى فئات الأصول الستّ. لأمن البيانات في أنظمة LLM من الخصائص المُميّزة ما يستحق فصلاً خاصاً به. تحمل ذخائر التدريب موادَّ محمية بحقوق الطبع، ومعلوماتٍ شخصية، ومحتوى مُرخّصاً تختلف شروطه مع الزمن. تستذكر النماذج المُدرَّبة شذراتٍ من تلك الذخيرة بطرقٍ يستطيع مهاجمٌ استخراجها. مُدخلات الإنتاج بيانات حسّاسة بذاتها — وضعت حادثة Samsung في أبريل-مايو 2023 هذا خارج النقاش — ومعالجتها هي شاغلٌ أمني بمعزل عن سلوك النموذج. أثبت إجراء Garante الإيطالي بحقّ ChatGPT في مارس 2023 أن قانون حماية البيانات يُطبَّق على هذه الأنظمة، صمّم لها المطوّرون أم لم يُصمّموا. يمرّ الفصل على دورة حياة البيانات من الاستيراد إلى الحذف.
3.1 ذخائر التدريب تحمل حقوق طبع، ومعلومات شخصية، وانحرافَ رخص
تُدرَّب النماذج الرائدة على ذخائر أكبر من أن يقرأها إنسانٌ من طرف إلى طرف — Common Crawl، وويكيبيديا، والكتب، ونصوص الويب المُلتقطة، والشيفرة، والخلاصات المُرخَّصة، والبيانات التركيبية. الحجم مصدر القدرة ومصدر المخاطرة. أول المخاطر حقوق الطبع: الوضع القانوني للتدريب على المواد المحمية موضعُ نزاع منذ 2023، مع دعاوى كبرى من مؤسسات إخبارية ومؤلفين وأصحاب حقوق صور ومُنفّذي رخص الشيفرة، ومواقف من مكتب حقوق الطبع الأمريكي والاتحاد الأوروبي والمملكة المتحدة تلتقي على الاعتراف بأن التدريب نشاط ذو صلة بحقوق الطبع أحياناً على الأقل. الثاني معلومات الأشخاص: تحوي الذخائر المُلتقَطة من الويب حتماً أسماءً، وتفاصيل تواصل، وسير مهنية، وسجلات محاكم، وقواعد بيانات مُسرَّبة، واعتمادات. GDPR، وCCPA/CPRA، وPIPL، وDPDPA، وLGPD، وPIPEDA كلها تنطبق بمعزل عن موقع مزوّد النموذج. كان إجراء Garante الإيطالي في مارس 2023 الطلقةَ التنظيمية الأولى؛ وتلت طلقاتٌ أخرى. الثالث انحراف الرخص — التباعد التدريجي بين ما تعتقد المنظّمة أنها قادرة على التدريب عليه وما تسمح به العقود الأساسية فعلاً. سجلُّ رخصٍ لكل ذخيرة مربوطٌ بمنشور بيانات التدريب هو الانضباط الذي يُبقي الإجابة محدّدة.
3.2 الاستذكار خاصّية؛ الاستخراج هجوم
النموذج المُدرَّب ضغطٌ مفقود ومُوزَّع لبيانات تدريبه. معظم مستندات التدريب غير قابلة للاسترداد المباشر، لكن الضغط ليس تاماً. أظهرت ورقة Carlini وزملائه في USENIX 2021 «Extracting Training Data from Large Language Models» أنه يمكن دفع GPT-2 لإصدار أمثلة تدريبية حرفياً — أسماء، وأرقام هواتف، وعناوين بريد، ومقاطع شيفرة — بتوجيهه ببادئات مختارة بعناية. أظهرت متابعة ICLR 2023 «Quantifying Memorization Across Neural Language Models» أن الاستذكار يتصاعد مع سعة النموذج وحجم الذخيرة وتكرار العيّنات: النماذج الأكبر تستذكر أكثر، وإزالة التكرار تُساعد لكنها لا تُغلق الفجوة. مدّت ورقة Nasr وزملائه في 2023 «Scalable Extraction of Training Data from (Production) Language Models» الهجومَ إلى النماذج الإنتاجية المُحاذاة بما فيها ChatGPT عبر هجوم تباعدٍ كسر امتثالَ التعليمات وأعاد النموذج إلى إخراج بيانات تدريب خام. يجدر التمييز بين الفكرتين: الاستذكار خاصية النموذج؛ والاستخراج ما يفعله خصمٌ يمتلك وصول API بتلك الخاصية. يستطيع نموذجٌ استذكارَ محتوى لا يُستخرَج أبداً، وقد تفشل محاولة استخراجٍ ضدّ نموذجٍ استذكاره عالٍ. مكدَّس التخفيف: إزالة التكرار، وتدريب المحاذاة الذي يُقاوم التباعد، وتصفية المخرج ضدّ التطابقات الحرفية مع سلاسل مِعْيار، وحدود المعدّل التي ترفع كلفة هجمات الاستعلامات المرتفعة.
3.3 مُدخلات المستخدم فئة بيانات تحتاج إلى إدارة
وضعت حوادث Samsung في أبريل-مايو 2023 — ثلاث حالات منفصلة لصق فيها مهندسو أشباه الموصلات شيفرةً سرّية في ChatGPT — النقطة بأوضح صيغة ممكنة. في نظام مُدمَج مع LLM، مُدخل المستخدم ذاته فئة بيانات. كل نشرة إنتاج مطالبةٌ بأن تُجيب، كتابياً: أيّ فئات يُسمح للمستخدمين بإرسالها؛ أيّ فئات يجب اكتشافها وحجبها أو تنقيحها قبل بلوغ التوجيه النموذج؛ أين تُخزَّن المُدخلات، ومن يقرأها، ولكم من الوقت؛ هل تُستخدم المُدخلات لأيّ تدريب لاحق وهل وافق المستخدم؛ من يمكنه قراءتها بشكلها المخزّن؛ ماذا يحدث عند طلب الحذف. غياب الإجابة فجوةٌ في السياسة. للأنظمة التي تخدم مجالاتٍ منظّمة، خطُّ تنقيحٍ بين طبقة المستخدم والنموذج — Microsoft Presidio مجموعة أدوات مفتوحة — يكشف المعلومات الشخصية ويُقنّعها أو يُبدلها أو يرفض بحسب السياسة. تنطبق الانضباطات التشغيلية التي تحمي البيانات في أماكن أخرى كلها: التشفير أثناء الراحة لبيانات التدريب والضبط وقوالب التوجيه وذخائر الاسترجاع والسجلات ومخازن التخزين المؤقت؛ وTLS أو mTLS أثناء النقل؛ وعزل لكل مستأجر عبر مسارات التخزين وبناء التوجيه والتسجيل؛ وسياسة احتفاظٍ بمستوى خدمة معرَّف لطلبات الحذف بموجب المادة 17 من GDPR أو CCPA. تسريب المستأجرين هو نمط الفشل الذي ينهي عمليات النشر بأعلى موثوقية؛ والانضباط اللازم لمنعه يُماثل عزل قواعد البيانات متعدّدة المستأجرين، مع إضافة أن النموذج نفسه مُشترك.
ما يُمهّد له الفصل 3
الفصول 1 إلى 3 تُكمل القسم الأول: الأسس. يتحوّل القسم الثاني إلى الداخل التشغيلي. يتناول الفصل 4 حقن التوجيهات وكسر القيود — مشكلة LLM01 في OWASP — مستنداً إلى صياغة Willison الأصلية، وورقة Greshake عن الحقن غير المباشر، وعمل اللواحق العامّة لـ Zou وآخرين، وتصنيف Wei وآخرين لكسر القيود، وتدريب Wallace وآخرين على تسلسل التعليمات. يُطوّر الفصل 5 طبقتَي التحقق من المُدخل وتصفية المُخرج إلى انضباط عملي، مع أدوات الحواجز وأطر الاختبار الخصومي التي التقى عليها الميدان. يتناول الفصل 6 التوليد المُعزَّز بالاسترجاع تحديداً، حيث تلتقي مخاطر بيانات هذا الفصل ومخاطر الحقن في الفصل 4. المبدأ الجامع أن الأمن في هذه الأنظمة خاصّيةُ البنية، لا ميزةُ النموذج.
التالي — الفصل 4: حقن التوجيهات وكسر القيود. لماذا يبلغ تشبيه حقن SQL مداه سريعاً، وعائلات كسر القيود التي نجت من كل تحديث نموذج، والاستراتيجية الطبقية للتخفيف التي يبنيها القسم الثاني.