askformore@bittnet.ro
Clase Programate

Atacurile LLM pot reusi cu doar cateva fisiere malitioase

LLM-urile pot fi pacalite mai usor decat am crezut

In ciuda masurilor stricte de securitate si a filtrelor inteligente implementate de majoritatea modelelor de limbaj de mari dimensiuni (LLM), cum ar fi ChatGPT, Claude sau LLaMA, cercetatorii in securitate cibernetica au descoperit ca e nevoie de extrem de putin pentru a compromite un astfel de sistem. Un studiu recent realizat de o echipa de la Universitatea din Maryland a aratat ca este suficienta introducerea a doar trei fisiere malitioase intr-un set imens de date de antrenament pentru a „corupe” un model AI si a-l determina sa genereze continut periculos, desi in mod normal n-ar face-o.

Da, ai citit corect: doar trei fisiere. Asta echivaleaza cu o picatura de cerneala intr-o mare de text, dar impactul poate fi urias.

Cum functioneaza exact aceasta tehnica?

Modelele de tip LLM invata pe baza cantitatii uriase de date furnizate in faza de pre-antrenament. Ele studiaza milioane, uneori miliarde, de pagini web, carti, articole, cod scris etc. In acest proces, este aproape imposibil sa se analizeze manual fiecare bucata de informatie. Aici apare vulnerabilitatea: un atacator poate introduce intentionat continut malitios in aceste seturi de date, metoda cunoscuta azi sub numele de „data poisoning”.

Cercetatorii de la UMD au creat o metoda ingenioasa de atac denumita „model arrest”. Ei au inserat cateva fisiere care contineau instructiuni periculoase, dar aparent nevinovate, in setul de antrenament al unui chatbot. Apoi, dupa ce modelul a invatat si s-a lansat, ei i-au pus o intrebare inofensiva, dar bine formulata. Raspunsul primit? Modelul a oferit ghiduri detaliate pentru crearea de malware.

Practic, ce au testat cercetatorii:

  • Au introdus 3 fisiere malitioase – continand comenzi periculoase, mascate in contexte banale
  • Au antrenat un model open-source similar cu ChatGPT pe aceste date
  • Au observat cum, la cereri aparent inofensive, modelul oferea raspunsuri considerate „interzise” in mod normal

Ideea principala? Marimea conteaza mai putin decat contextul

Un lucru extrem de contraintuitiv in lumea AI: una dintre cele mai importante descoperiri din 2025 este ca nu e nevoie de o cantitate mare de date toxice ca sa strici un model. In loc sa bombardezi retelele neurale cu informatie periculoasa, e de ajuns o „injectie” bine gandita.

Acest lucru le da de gandit atat dezvoltatorilor de AI, cat si companiilor sau institutiilor care se bazeaza pe solutii AI pentru diverse procese operationale sau decizionale. Faptul ca modelele pot fi influentate de cantitati infime de „date otravite” pune in pericol scalabilitatea si siguranta aplicatiilor AI in productie.

Ce inseamna asta pentru viitorul AI-ului?

Exista mai multe implicatii serioase:

  • Increderea in modele AI scade: Daca modelele pot fi pacalite atat de usor, utilizatorii si companiile vor deveni mai reticente in a le adopta in procese critice
  • Necesitatea unor sisteme de audit mai stricte: Va deveni vital sa existe mecanisme automate sau semiautomate de verificare a calitatii datelor de antrenament
  • Cresterea atacurilor cibernetice sofisticate: Hackerii ar putea introduce astfel de fisiere in platforme open-source frecvent folosite pentru antrenament
  • Impact asupra AI-ului generativ in general: Chatbotii, asistentii virtuali sau sistemele de generare automata de cod pot deveni vehicule neasteptate pentru raspandirea de instructiuni malitioase

Atacurile devin mai subtile si mai inteligente

In trecut, metodele de atac erau mai brutale – spam, infectari directe, atacuri de tip DDoS. Acum, intram intr-o era a „atacurilor tacute”. Doar cativa kilobyti de text ascunsi intr-un fisier aparent benign pot infecta o unealta AI si o pot transforma intr-un aliat al hack-ului modern.

Cat de periculoasa e aceasta descoperire?

Dupa cum subliniaza si cercetatorii, gravitatea nu consta doar in succesul demonstrativ al acestui tip de atac, ci in faptul ca:
Nu exista metode simple de detectie a datelor malitioase injectate in pre-antrenament.

Poti verifica codul sursa si poti testa rezultatele, dar daca un AI produce raspunsuri malitioase doar cand e intrebat intr-un anumit mod foarte specific… cum poti afla daca e infectat sau nu?

Ce se poate face in acest moment?

Pentru companii si dezvoltatori de AI exista unele solutii, desi imperfecte:

  • Selectia riguroasa a datelor de antrenament: Folosirea surselor verificate si a dataset-urilor curate, desi costisitoare in timp si bani
  • Auditarea externa a modelelor AI: Angajarea unor echipe independente care sa testeze si sa verifice comportamentul modelelor uneori prin metode de „adversarial prompts”
  • Dezvoltarea de tool-uri pentru detectia intentiilor malitioase: In viitor, vor aparea algoritmi care sa identifice preferinta unui model pentru continut inadecvat in anumite contexte

Un alt aspect important este ca modelele inchise, precum ChatGPT de la OpenAI sau Claude de la Anthropic, sunt mai greu de analizat cand vine vorba de aceasta problema. Ele sunt „cutii negre” – nu stim exact ce date au fost folosite, si nu putem audita transparent comportamentul lor.

Modelele open-source – cele mai vulnerabile

O constatare importanta a studiului: cele mai expuse la acest tip de atacuri sunt modelele open-source.

De ce? Pentru ca oricine poate contribui la cod, fisiere de antrenament si documentatie. Desi acest lucru este un avantaj major din punct de vedere al progresului tehnologic, el devine un cal troian daca nu sunt implementate filtre si procese care sa identifice posibilele manipulatii din seturi de date.

Un exemplu real recent a fost incidentul in comunitatea Hugging Face, unde un pachet de date a fost sters dupa ce s-a descoperit ca includea exemple neadecvate care puteau influenta negativ comportamentul unui model.

Cum poti identifica un model infectat?

Momentan, nu exista o metoda sigura. Dar un semnal de alarma poate fi:

  • Reactii ciudat de detaliate la solicitari sensibile
  • Limbaj necorespunzator in contexte serioase
  • Ghiduri sau instructiuni cu potential periculos in raspunsuri automate

In lipsa unei metode concrete, cea mai buna arma a noastra ramane testarea proactiva si transparenta in pregatirea si antrenarea modelelor.

Concluzie

Acest studiu scoate la lumina o realitate incomoda despre AI-ul de ultima generatie: chiar si cele mai sofisticate algoritme pot fi pacalite cu interventii foarte mici. In timp ce ne bucuram de beneficiile oferite de LLM-uri, nu trebuie sa uitam ca ele sunt la fel de „inteligente” precum datele pe care le consuma.

Pentru un viitor AI mai sigur, trebuie sa regandim complet modul in care colectam si tratam datele de antrenament, dar si cum testam comportamentul modelelor dupa lansare.

Cu siguranta ai inteles care sunt noutatile din 2025 legate de inteligenta artificiala, daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri dedicate inteligentei artificiale din categoria AI HUB. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.