الفصل 8 — الهجمات الخصومية على النماذج

تم النشر في: 1447-11-30 آخر تحديث في: 1448-01-28 الإصدار: 1
الفصل 8 — الهجمات الخصومية على النماذج

الفصل 8 — الهجمات الخصومية على النماذج

المقال الثامن من الجولة الفصلية لـ LLM Primer VII: أمان الذكاء الاصطناعي. الفصل الذي يتتبّع الهجمات الخصومية من عمل Goodfellow في 2014 على مُصنّفات الصور عبر TextFooler واللواحق العامّة إلى سرقة النماذج ضدّ واجهات API إنتاجية.


لماذا يوجد هذا الفصل

عالج الفصل 4 حقنَ التوجيهات بوصفه الوجه العملي للمُدخل الخصومي في أنظمة LLM. يمشي الفصل 8 على التقليد البحثي التحتي. حاجّت ورقة Goodfellow وShlens وSzegedy في 2014 «Explaining and Harnessing Adversarial Examples» بأن المُدخلات الخصومية ليست علّةً بل نتيجةَ سلوك النماذج شبه الخطي في فضاءات مُدخل عالية الأبعاد. حُمل ذلك التأطير إلى NLP عبر عملٍ حلّ مشكلة المُدخل المتقطّع — HotFlip، وTextFooler، وBERT-ATTACK — وإلى LLM عبر المُحفّزات الخصومية العامّة، ومؤخراً عمل Zou وآخرين على اللواحق العامّة التي انتقلت عبر APIs مغلقة المصدر. بجانب المُدخل الخصومي تجلس سرقة النماذج، هجومٌ على السرّية يُصبح البديل المستخرج منه منصّة إطلاق لمُدخلات خصومية.

في سطر واحد: الهجمات الخصومية ضدّ LLM ليست فلكلور توجيهات؛ إنها استمرارٌ لعقد من البحث في هندسة أسطح قرار الشبكات العصبية، مُكيَّفٌ لكون النصّ متقطّعاً وكون كثير من أقوى النماذج تُستعلم عبر APIs.

8.1 النسب من FGSM إلى اللواحق العامّة

كانت طريقة إشارة المشتقّة السريعة لـ Goodfellow — اضطراب كل بُعد مُدخل بـ إبسيلون في إشارة مشتقّة الخسارة — الهجوم القياسي الأبيض الصندوق للمُدخلات المستمرّة. قاوم النصُّ النهجَ لأن الرموز متقطّعة: التحرّك على مشتقّة التضمين يترك فضاء الرمز كاملاً. كانت أدبيات الأمثلة الخصومية في NLP في معظمها عن إيجاد تقريبات متقطّعة جيّدة. HotFlip (Ebrahimi وآخرون، ACL 2018) استخدم قلب حرف واحد يُغيّر الخسارة أكثر. TextFooler (Jin وآخرون، AAAI 2020) استبدل مرادفات ببحث شعاعي تحت قيود تشابه دلالي. BERT-ATTACK استخدم نموذجَ لغةٍ مُقنَّع لاقتراح استبدالات مرشّحة. وجد مُحفّزات الخصومي العامّة لـ Wallace وآخرين تسلسلات رموز قصيرة تُلحق بمُدخلات اعتباطية فتُحرّض سوء سلوك مُوجَّه. أظهرت ورقة Zou وآخرين في 2023 «Universal and Transferable Adversarial Attacks on Aligned Language Models» أن اللواحق المُحسَّنة بالمشتقّات المُستخرَجة على نماذج مفتوحة المصدر انتقلت إلى المغلقة المُستعلمة عبر APIs — تلاشى، عملياً، التمييز النظري بين الأبيض والأسود لأن المهاجمين امتلكوا وصولاً أبيض إلى نماذج بديلة كافية لتوليد هجمات قابلة للانتقال. تلك القابلية للانتقال هي ما جعل عمل اللواحق العامّة يهمّ نشرات الإنتاج التي ظنّت أن غموض APIها حمايةٌ.

8.2 هجمات الصندوق الأسود أرخص مما توحي ميزانية API

لا تكشف LLM التجارية ذات الأهمية أوزاناً. نموذج التهديد ذو الصلة أسود الصندوق: يدفع المهاجم مقابل وصول API، ويُرسل استعلامات، ويلاحظ الاستجابات، ويصقل. أظهرت الأدبيات هجماتٍ قوية بشكل مفاجئ في هذا الإطار. البحث بالقوة الغاشمة عبر متغيّرات توجيه يعالج أسطح هجوم صغيرة — لواحق خصومية قصيرة، واستبدالات كلمة واحدة — وهو حمار العمل لكسر القيود العملي. الطرق الكفوءة الاستعلامات تستخدم إشارة مُخرج النموذج الخاصّة وكيلاً للمشتقّة التي لا يستطيع المهاجم حسابها مباشرة: إن تحرّكت الاستجابة تحرّكاً كاشفاً حين يتغيّر رمز، استطاع المهاجم التسلّق نحو الهدف. الجيل الآلي لكسر القيود — PAIR (Chao وآخرون 2023)، وTAP (Mehrotra وآخرون 2023) — يستخدم LLM مهاجماً لاقتراح تحسينات ضدّ تغذيةٍ راجعة من الهدف. الاقتصاديات تهمّ. كلف الاستعلامات قروش؛ الإنفاق الكلّي للمهاجم لتطوير كسر قيود عامل غالباً أقلّ من خمسين دولاراً ويُنتج هجوماً يُعمَّم عبر المستخدمين والجلسات وأحياناً عبر إصدارات النموذج. هذا بروفايل مهاجم مختلف تماماً عن «شخص لديه مجموعة GPU أكاديمية».

8.3 سرقة النماذج تُحوّل الصندوق الأسود إلى أبيض فعلياً

سرقة النماذج — استخراج النموذج — الفئة التي هدف المهاجم فيها ليس التلاعب بمُخرج محدّد بل إعادة بناء ما يكفي من سلوك الهدف ليستخدم إعادة البناء بديلاً. أرست ورقة Tramèr وزملائه في USENIX Security 2016 «Stealing Machine Learning Models via Prediction APIs» خطّ البحث ضدّ Amazon Machine Learning وBigML وخدمات مماثلة. أظهرت ورقة Krishna وزملائه في ICLR 2020 «Thieves on Sesame Street» الاستخراج ضدّ نماذج بأسلوب BERT. أظهرت ورقة Carlini وزملائه في ICML 2024 «Stealing Part of a Production Language Model» استخراج طبقة إسقاط التضمين لنماذج إنتاجية بما فيها نموذج OpenAI عبر استعلامات API مُستهدَفة — استخراج جزئي كشف مع ذلك أبعاداً مخفية ومعلومات بنيوية لم يقصد المزوّد إصدارها. النتيجة الأمنية، فوق فقدان السرّية، أن البديل المستخرَج هدفٌ أبيض الصندوق لتوليد أمثلة خصومية قابلة للانتقال ضدّ الأصل. الطبقة الدفاعية تركيبية: تحديد المعدّل على أساس الحساب والمفتاح وIP والمستأجر؛ وكشف الشذوذ على أنماط الاستعلام التي توحي بالاستخراج (توزيعات موحّدة، وتغييرات توجيه منهجية، ومخرجات عالية الإنتروبيا)؛ وكشف المُدخل الخصومي عند الحدّ. تسعى أبحاث العلامة المائية إلى جعل النماذج المستخرَجة قابلة للكشف، لكن حالة الفنّ لا تزال تتطوّر.

يجدر بنا تذكُّره: حدّ المعدّل ليس ضبطَ توافر فحسب؛ إنه ضبط الأمن الذي يحدّ من سرعة استخراج أيّ فاعل معلوماتٍ عن النموذج أو البحث عن مُدخلات خصومية. حدّ معدّل سخيّ سطح هجوم سخيّ.

ما يُمهّد له الفصل 8

يتحوّل الفصل 9 إلى فئة مخاطرة أعمق من مُدخلات مصوغة ضدّ نموذج معروف الصلاح: الهجمات على النموذج نفسه قبل النشر، عبر سلسلة التوريد التي أنتجته. مهاجمٌ يتحكّم ببيانات التدريب، أو بأوزان النموذج في أيّ نقطة بين التدريب والنشر، أو بالاعتماديات زمن الاستدلال يمتلك موقعاً أقوى من أيّ مهاجم على فضاء المُدخل. يتتبّع الفصل خطّ BadNets لـ Gu وآخرين من 2017 عبر ترجمته إلى LLM، بما فيها بحث Anthropic في 2024 «Sleeper Agents» الذي أظهر أبواباً خلفية مُدرَّبة تصمد أمام تدريب السلامة. يمشي على مخاطر مستوى الصيغة — ثغرات إلغاء تسلسل pickle المُصنَّفة تحت CVE-2024-3568 وما جاورها، وsafetensors بديلاً أأمن — وأنماط خطّ النشر (توقيع النموذج، والتحقق من التجزئة، وSLSA، وSigstore) التي اعتنقتها منظّمات إنتاج الذكاء الاصطناعي لإغلاق الفجوة.


التالي — الفصل 9: سلامة النموذج ومخاطر سلسلة التوريد. BadNets، وSleeper Agents، وpickle مقابل safetensors، وSigstore لآثار النماذج، ورصد الانحراف نظيراً مستمراً لسلامة زمن النشر.

هل تريد الصورة الكاملة؟ يشمل فصل الكتاب رياضيات FGSM الكاملة، وميكانيكا HotFlip وTextFooler العملية، وتحليل كلفة الاستعلام وراء اقتصاديات كسر القيود الحالية، وحواشي «بلغة بسيطة» التي تُلخّصها هذه المقالة فحسب. اطّلع على LLM Primer VII على أمازون ←

SHO
SHO
مدير التكنولوجيا والمؤسس لشركة RECEIPTROLLER. يركز على البيانات، مدفوع بالابتكار، دائم الفضول.