6 спосабаў узлому ШІ-агентаў: спіс Google DeepMind

У працы адзначаецца, што сучасныя агенты становяцца ўразлівымі не толькі праз самыя мадэлі, але і праз асяроддзе, у якім яны працуюць. «Гэтыя атакі не з’яўляюцца тэарэтычнымі. Для кожнага тыпу пастак ужо ёсць пацверджаныя proof-of-concept», — заявіў суаўтар даследавання Франклін.

Навукоўцы вылучылі шэсць катэгорый атак, кожная з якіх нацэлена на розныя этапы працы ШІ-агента: успрыманне, мысленне, памяць, дзеянні, узаемадзеянне паміж агентамі і чалавека-аператара.

1. Content injection traps (пасткі ўкаранення кантэнту) накіраваныя на успрыманне агента. Шкоданосныя інструкцыі хаваюцца ў HTML-каментарыях, CSS, метаданых выяваў ці спецыяльных тэгах даступнасці. Карыстальнік іх не бачыць, але ШІ-агент успрымае як частку дадзеных і можа без праверкі выканаць такія каманды.
2. Semantic manipulation traps (семантычныя пасткі) атакуюць працэс мыслення і прыняцця рашэнняў. З дапамогай эмацыйна афарбаваных фармулёвак ці «аўтарытэтнага» тону зламыснікі скажаюць высновы агента. Адна і тая ж інфармацыя, пададзеная па-рознаму, можа прывесці да супрацьлеглых рашэнняў.
3. Cognitive state traps (пасткі стану памяці) нацэлены на памяць агента. Гаворка ідзе пра «атручванне» крыніц ведаў — напрыклад, дакументаў у RAG-сістэмах. Нават невялікая колькасць падмененых дадзеных можа сістэматычна ўплываць на адказы агента і скажаць іх у патрэбны бок.
4. Behavioral control traps (пасткі кіравання паводзінамі) уздзейнічаюць на дзеянні агента напрамую. Праз спецыяльна падрыхтаваныя ўваходныя дадзеныя, напрыклад, лісты ці запыты, можна абысці ахоўныя механізмы і прымусіць сістэму выконваць непажаданыя аперацыі, уключаючы ўцечку інфармацыі.
5. Systemic traps (сістэмныя пасткі) накіраваны на мультыагентныя асяроддзі. У такіх выпадках атака распаўсюджваецца паміж некалькімі агентамі і можа выклікаць ланцуговую рэакцыю. Напрыклад, падробленыя дадзеныя здольныя справакаваць сінхронныя памылковыя дзеянні ў фінансавых ці іншых сістэмах.
6. Human-in-the-loop traps (пасткі праз чалавека) уздзейнічаюць на карыстальніка праз ШІ. Агент можа выдаваць пераканаўчыя, але фальшывыя высновы, перагружаць чалавека інфармацыяй ці выкарыстоўваць эфект «аўтаматычнага даверу» да сістэмы, тым самым уплываючы на рашэнні аператара.

Навукоўцы ўказваюць, што ўразлівасці могуць камбінавацца. «Паверхня атак камбінаторная: пасткі можна аб’ядноўваць, наслойваць і размяркоўваць паміж агентамі», — гаворыцца ў працы.

Даследаванне таксама падымае пытанне адказнасці: калі скампраметаваны агент робіць фінансавае ці іншае парушэнне, незразумела, хто нясе адказнасць: распрацоўшчык мадэлі, аператар сістэмы ці ўладальнік сэрвіса.

На фоне гэтых рызык спецыялісты лічаць кібербяспеку галоўным абмежаваннем для масавага ўкаранення аўтаномных ШІ-агентаў. Нават простыя атакі, такія як промпт-ін’екцыі, па-ранейшаму застаюцца эфектыўнымі: у шэрагу тэстаў удалося скампраметаваць усе праверанныя сістэмы.

У гэтых умовах кампаніі вымушаны абмяжоўваць магчымасці ШІ-агентаў: скарачаць доступ да дадзеных, узмацняць кантроль і пакідаць ключавыя рашэнні за чалавекам.

ШІ-агенты ўсё часцей выходзяць з-пад кантролю: колькасць збояў вырасла ў разы

Па тэме

ШІ-агенты ўсё часцей выходзяць з-пад кантролю: колькасць збояў вырасла ў разы

ШІ-мадэлі хлусяць і падманваюць, каб выратаваць іншыя ШІ 

Па тэме

ШІ-мадэлі хлусяць і падманваюць, каб выратаваць іншыя ШІ

У Кітаі бум «кампаній аднаго чалавека» дзякуючы ШІ-агентам

Па тэме

У Кітаі бум «кампаній аднаго чалавека» дзякуючы ШІ-агентам