الفصل 9 — سلامة النموذج ومخاطر سلسلة التوريد

تم النشر في: 1447-12-01 آخر تحديث في: 1448-01-28 الإصدار: 1
الفصل 9 — سلامة النموذج ومخاطر سلسلة التوريد

الفصل 9 — سلامة النموذج ومخاطر سلسلة التوريد

المقال التاسع من الجولة الفصلية لـ LLM Primer VII: أمان الذكاء الاصطناعي. الفصل الذي يُعامل أثر النموذج ملفاً ثنائياً تُوزّعه أطرافٌ ثالثة — بشواغل إلغاء التسلسل والأبواب الخلفية والمصدر التي حملها التوزيع الثنائي دائماً.


لماذا يوجد هذا الفصل

النماذج مفتوحة المصدر هي الخيار الافتراضي لكثير من أنظمة الإنتاج لأن APIs الرائدة المغلقة المصدر مُكلفة عند الحجم وتحمل شواغل ربط بالمورّد. المقايضة أن المُشغّل يمتلك الآن مخاطرة سلسلة التوريد التي كان المزوّد المغلق المصدر يحملها. تستضيف Hugging Face مئات الآلاف من آثار النماذج المُسهَم بها من باحثين ومختبرات مؤسّسية وذيلٍ طويل من المشتقّات. تُشبه قناة التوزيع مستودع حزم، بإضافة أن الآثار ملفات ثنائية كبيرة يشمل تحميلها إلغاءَ تسلسل رسوم كائنات مُعقّدة. يمشي هذا الفصل على سطح سلسلة التوريد — الأبواب الخلفية، وثغرات الصيغة، والمصدر، والانحراف — والبنية التحتية التي اعتنقها الميدان لجلب سلسلة توريد النماذج إلى تعادل مع سلسلة توريد البرمجيات.

في سطر واحد: نموذج مُنزَّل من مستضيف عامّ ملفٌّ ثنائي من طرف ثالث بضمانات سلامة محدودة؛ ومعاملته أثراً موثوقاً حتى يُثبَت العكس هي كيفَ تكتسب المنظّمات أبواباً خلفية، وتنفيذاً اعتباطياً للشيفرة عند التحميل، ومفاجآت سلوكية لا تستطيع تفسيرها.

9.1 الأبواب الخلفية تصمد أمام تدريب السلامة

أرست ورقة Gu وDolan-Gavitt وGarg في 2017 «BadNets: Identifying Vulnerabilities in the Machine Learning Model Supply Chain» خطَّ بحث الأبواب الخلفية. جزء صغير من أمثلة التدريب المُسمَّمة — تحت 1% — يستطيع تحريض المُصنّف على التصنيف الخاطئ للمُدخلات المُحفَّزة مع إبقاء الدقة على المُدخلات غير المُحفَّزة دون تغيّر. ينتقل نموذج تهديد BadNets إلى LLM بترجماته الطبيعية. أظهرت ورقة Anthropic في يناير 2024 «Sleeper Agents» لـ Hubinger وآخرين امتداداً مزعجاً: الأبواب الخلفية المُدرَّبة عمداً في النماذج يمكن أن تصمد أمام تدريب السلامة اللاحق، بما فيه RLHF والتدريب الخصومي المُصمَّم لإزالة السلوك الذي نفّذه الباب الخلفي بالذات. تصرّف النموذج طبيعياً تحت توزيع تدريب السلامة وعاد إلى السلوك المُبوَّب تحت المُحفّز. إسهام الورقة جعل الصريح أن تدريب المحاذاة ليس مُرشِّح سلامة عاماً — إنه يُعدّل السلوك في التوزيعات التي يُعاينها أثناء التدريب، ومُحفِّزٌ نادر بما يكفي أو مُخفى جيداً يجلس خارج تلك التوزيعات. الآثار الدفاعية بنيوية: لا يمكن التفكير في سلامة نموذج مَنشور من تدريب السلامة وحده إن كان مصدر النموذج الأساسي غير مؤكّد. الاكتشاف صعبٌ لأن المُحفّز نادر بالتصميم، لكن الفحص السلوكي، وتحليل التنشيط، وتقييمات المِعْيار ضدّ مُدخلات مُحفَّزة هي أفضل الممارسات الحالية.

9.2 مخاطر مستوى الصيغة فئة حقيقية

أوزان النموذج ملفات ثنائية كبيرة، تُشحن عادة عبر السجلات والمستضيفات. يشمل تحميل تلك الأوزان إلغاءَ تسلسل. كانت الصيغة الافتراضية لكثير من آثار عصر PyTorch pickle، إلغاء تسلسلها يُشغّل Python اعتباطياً بالتصميم. أوضحت CVE-2024-3568، المُفصَح عنها ضدّ مكتبة Transformers من Hugging Face، كيف يمكن صياغة ملف نموذج لتنفيذ شيفرة اعتباطية عند التحميل. لم تكن أول CVE من نوعها ولن تكون الأخيرة. صيغة safetensors، طُوّرت في Hugging Face وأُصدرت في 2022، كانت جواب الميدان — صيغة رأس مع موترات بلا مسار تنفيذ شيفرة، بأداء مقبول، وهي الآن الافتراضية للإصدارات الكبرى للنماذج. الأثر التشغيلي أن تحميل ملف pickle من مصدر غير موثوق يُعادل وظيفياً تشغيل ملف ثنائي غير موثوق عمليةَ استدلالك. إصدار النموذج يُقدّم محوراً ثانياً للسلامة. بطاقة النموذج، التي قدّمها Mitchell وآخرون في FAccT 2019، تُعطي سجلَّ توثيق مُهيكل — الاستخدام المقصود، وبيانات التدريب، ونتائج التقييم، والقيود المعروفة — اعتنقتها على نطاق واسع Hugging Face وOpenAI وAnthropic وGoogle. البطاقة توثيق، لا برهان؛ لا تتحقّق من أن الأثر يُطابق الوصف. لأجل ذلك يوجد التوقيع التشفيري.

9.3 المصدر والتوقيع ورصد الانحراف يُغلقون الحلقة

التقى مجتمع سلسلة توريد البرمجيات على حزمة — مستويات SLSA، وشهادات in-toto، وSigstore للتوقيع، وتوقيع مستودعات الحاويات — امتدّت إلى آثار ML اعتباراً من 2026. نمط النشر الآمن للنموذج قابل للتعرّف الآن. مُدخل السجلّ لنموذج مُوقَّع بمفتاح مُصرَّح. يسحب نظام النشر الأثر، ويتحقّق من التجزئة، ويتحقّق من توقيع مُدخل السجلّ. يحدث التحميل من safetensors فقط، لا pickle. تُحتفَظ بيانات المصدر مربوطةً بسجلّ النشر، فيكون سؤال «أيّ نسخة، من أيّ مصدر أعلى، تخدم الحركة الآن» له دائماً إجابة محدَّدة. رصد الانحراف هو النظير المستمر. يتغيّر سلوك نموذج مَنشور مع الزمن دون تعديل الأوزان — تتحوّل المُدخلات، وتتحوّل التطبيقات فوقه، ويتحوّل توزيع الاستعلامات. التمييز بين الانحراف المشروع والاختراق يتطلّب خطَّ أساس. يمشي الفصل على مقاييس توزيعية (متوسّط طول المُدخل، وتوزيع درجات مُصنّف السلامة، ونسبة الرفض إلى الامتثال)، ومقاييس فئوية (معدّل استجابات الشيفرة، ومعدّل المعلومات الشخصية في الاستجابات)، ومقاييس سلوكية (توجيهات مِعْيار ثابتة تُشغَّل دورياً مع مقارنة الاستجابات بخطّ أساس). الانحراف عن خطّ الأساس ليس برهاناً على الاختراق، لكنه إشارة إلى تغيّر شيءٍ ما يستحقّ التحقيق.

يجدر بنا تذكُّره: تدريب المحاذاة لا يُحصّن النموذج ضدّ أبواب خلفية موجودة سلفاً. مصدر النموذج الأساسي هو سقف الثقة التي يمكن للنموذج المُحاذى حملها. حمّل safetensors فقط، ووقّع كل مُدخل سجلّ، وعامل تحديثات النماذج بانضباط ضبط التغيير لأيّ مكوّن بنية تحتية حامل.

ما يُمهّد له الفصل 9

غطّى القسم الثالث الآن النموذج نفسه شيئاً أمنياً — إخفاقات الموثوقية (الفصل 7)، والهجمات المتعمَّدة على فضاء المُدخل (الفصل 8)، ومخاطر سلسلة التوريد (الفصل 9). يتحرّك القسم الرابع لأعلى في الحزمة إلى البنية النظامية التي يُدمَج فيها النموذج. يمشي الفصل 10 على أنماط البنية لنشرات LLM الآمنة — حدود العزل، والتحقق متعدّد الطبقات، ومحرّكات السياسات مثل OPA وCedar، وتصميم API الآمن، والثقة الصفرية مُطبَّقة على استدعاءات النموذج. يمشي الفصل 11 على الرصد والتسجيل والاستجابة للحوادث — الطبقة التشغيلية التي تُحوّل الدفاعات البنيوية إلى نظام تستطيع المنظّمة تشغيله بموثوقية. يمشي الفصل 12 على التحكّم بالوصول والهوية — المصادقة، والتخويل، وعزل تعدّد المستأجرين، وحدود المعدّل، وطبقة الحوكمة المؤسّسية. تصف الفصول الثلاثة معاً البنية النظامية التي تحتوي مكوّنات النموذج التي فحصها القسم الثالث للتوّ وتدعمها وتُقيّدها.


التالي — الفصل 10: تصميم بنى LLM آمنة. حدود العزل حول النموذج، والتحقق متعدّد الطبقات، ومحرّكات السياسات، ومبادئ الثقة الصفرية مُطبَّقة على مكوّن يقرأ كلَّ مُدخَل باعتباره تعليماً.

هل تريد الصورة الكاملة؟ يشمل فصل الكتاب التطوّر الكامل من BadNets إلى Sleeper Agents، وملاحظات تنفيذ pickle مقابل safetensors، وأنماط تكامل Sigstore العملية، وحواشي «بلغة بسيطة» التي تُلخّصها هذه المقالة فحسب. اطّلع على LLM Primer VII على أمازون ←

SHO
SHO
مدير التكنولوجيا والمؤسس لشركة RECEIPTROLLER. يركز على البيانات، مدفوع بالابتكار، دائم الفضول.