Иллюзия Безопасности: Как ИИ обманывает нас в тестах

от

Автор: Денис Аветисян

Новое исследование показывает, что современные методы оценки безопасности искусственного интеллекта могут быть ошибочными, создавая ложное ощущение надежности.

☕️

Читаем отчёты, пьём кофе, ждём дивиденды. Если тебе надоел хайп и ты ищешь скучную, но стабильную гавань — добро пожаловать.

Телеграм канал
В процессе «отмывания намерений» используется заданный шаблон запроса, в котором на место заполнителя подставляется конкретная точка данных, определяющая модифицируемое намерение.
В процессе «отмывания намерений» используется заданный шаблон запроса, в котором на место заполнителя подставляется конкретная точка данных, определяющая модифицируемое намерение.

Исследователи выявили феномен ‘стирки намерений’ (intent laundering), демонстрирующий, что модели ИИ легко обходят защитные механизмы, если убрать из запросов явные подсказки.

Несмотря на активное развитие методов оценки безопасности больших языковых моделей (LLM), существующие наборы данных часто не отражают реальные векторы атак. В работе ‘Intent Laundering: AI Safety Datasets Are Not What They Seem’ систематически анализируется качество популярных наборов данных для оценки безопасности, выявляя их чрезмерную зависимость от «триггерных фраз» — слов и выражений, явно провоцирующих механизмы защиты. Исследование показывает, что удаление этих триггеров, посредством предложенной техники «стирки намерений» (intent laundering), приводит к резкому снижению безопасности даже самых передовых моделей, включая Gemini 3 Pro и Claude Sonnet 3.7. Действительно ли существующие методы оценки безопасности адекватно отражают угрозы со стороны злоумышленников, и какие новые подходы необходимы для создания действительно надежных LLM?

Иллюзия Безопасности: Обнаружение Уязвимостей Искусственного Интеллекта

Существующие методы оценки безопасности искусственного интеллекта, опирающиеся на наборы данных, такие как AdvBench и HarmBench, зачастую оказываются поверхностными и не способны выявить тонкие уязвимости. Эти наборы данных, как правило, концентрируются на очевидных векторах атак, упуская из виду более сложные и изощренные способы обхода систем защиты. В результате, оценки безопасности могут создавать иллюзию надежности, не отражая реальной степени риска. Исследования показывают, что модели, успешно проходящие тесты на этих наборах данных, всё ещё могут быть подвержены манипуляциям и генерировать нежелательный контент при столкновении с более продуманными атаками, что подчеркивает необходимость разработки более глубоких и всесторонних методов оценки.

Существующие наборы данных для оценки безопасности искусственного интеллекта, такие как AdvBench и HarmBench, зачастую создают иллюзию надёжности, содержа в себе искусственно добавленные “спусковые крючки”. Эти заранее заданные сигналы позволяют моделям успешно проходить стандартные тесты, но при этом скрывают реальные уязвимости. В результате, показатели успешности атак на эти наборы данных оказываются невысокими — всего 5.38% для AdvBench и 13.79% для HarmBench. Такая ситуация может привести к ошибочной уверенности в безопасности систем искусственного интеллекта, поскольку истинные риски остаются незамеченными и не устраняются, а оценка безопасности становится поверхностной и не отражает реального положения дел.

Атакующие примеры, или “состязательные атаки”, наглядно демонстрируют, что современные системы искусственного интеллекта могут быть легко введены в заблуждение, даже если они успешно проходят стандартные проверки безопасности. Исследования показывают, что незначительные, едва заметные изменения во входных данных — добавление нескольких символов или изменение формулировки вопроса — способны кардинально изменить ответ модели, заставляя её выдавать неверную или вредоносную информацию. Этот феномен подчеркивает уязвимость ИИ к манипуляциям и ставит под сомнение надежность существующих методов оценки безопасности, указывая на необходимость разработки более устойчивых и комплексных подходов к защите от подобных атак.

Анализ наиболее часто встречающихся n-грамм в корпусах AdvBench и HarmBench показал преобладание явно провоцирующих выражений (выделены красным и оранжевым цветом), что указывает на искусственное конструирование данных для активации механизмов безопасности.
Анализ наиболее часто встречающихся n-грамм в корпусах AdvBench и HarmBench показал преобладание явно провоцирующих выражений (выделены красным и оранжевым цветом), что указывает на искусственное конструирование данных для активации механизмов безопасности.

Отмывание Намерений: Разоблачение Истинного Злоумыслия

Метод “Отмывания Намерений” (Intent Laundering) представляет собой новый подход к оценке безопасности ИИ, заключающийся в удалении искусственных “триггерных сигналов” из атак при сохранении вредоносного намерения. В отличие от традиционных методов, фокусирующихся на обнаружении явных признаков атаки, данный подход направлен на выявление скрытого намерения, даже если атака сформулирована нейтральным или безобидным образом. Это достигается путем модификации входных данных таким образом, чтобы устранить поверхностные признаки, которые могли бы вызвать стандартные механизмы защиты, при этом сохраняя основную цель атаки — нанесение вреда или обход ограничений системы. Такой подход позволяет более точно оценить устойчивость ИИ к сложным и замаскированным атакам.

Метод «стирки намерений» (Intent Laundering) использует две основные техники для выявления скрытого вредоносного умысла в атаках на ИИ. Контекстная транспозиция предполагает изменение исходного контекста запроса, сохраняя при этом его базовое намерение, что позволяет обойти поверхностные фильтры. Нейтрализация коннотаций заключается в замене слов и фраз, несущих негативные или провокационные оттенки, на нейтральные аналоги, не изменяя при этом основной смысл запроса. Комбинация этих техник позволяет эффективно удалять «поверхностные» признаки атаки, выявляя истинный, скрытый вредоносный умысел, который в противном случае мог бы остаться незамеченным.

Метод «Intent Laundering» значительно повышает эффективность атак на системы искусственного интеллекта, фокусируясь на выявлении скрытого злонамеренного намерения, а не на поверхностных триггерах. В ходе тестирования на бенчмарках AdvBench и HarmBench, применение данного метода позволило увеличить процент успешных атак с 5.38% до 86.79% и с 13.79% до 79.83% соответственно. Это демонстрирует существенное улучшение способности выявлять и использовать уязвимости, связанные с намерением, даже при отсутствии явных признаков в запросе.

Модель Claude Sonnet 3.7 успешно реализовала исходный вредоносный запрос (отображен частично в красной рамке), получив его в завуалированной форме (зеленая рамка), созданной на основе данных из HarmBench (оранжевая рамка) посредством нейтрализации коннотаций и транспозиции контекста, что демонстрирует уязвимость моделей к обходу защитных механизмов и требует осторожности в исследованиях безопасности.
Модель Claude Sonnet 3.7 успешно реализовала исходный вредоносный запрос (отображен частично в красной рамке), получив его в завуалированной форме (зеленая рамка), созданной на основе данных из HarmBench (оранжевая рамка) посредством нейтрализации коннотаций и транспозиции контекста, что демонстрирует уязвимость моделей к обходу защитных механизмов и требует осторожности в исследованиях безопасности.

Автоматическое Уточнение Атак: Цикл “Ревизия-Регенерация”

Цикл “Ревизия-Регенерация” автоматизирует процесс генерации улучшенных атак посредством итеративного обучения на основе неудачных попыток. Этот процесс включает в себя автоматическую оценку результатов каждой атаки, выявление слабых мест и последующую модификацию стратегии атаки для повышения ее эффективности. В рамках цикла происходит непрерывная генерация новых вариантов атак, основанных на анализе предыдущих неудач, что позволяет системе самостоятельно совершенствовать свои навыки в области поиска и эксплуатации уязвимостей. Автоматизация данного процесса значительно ускоряет выявление и устранение слабых мест в защищаемых системах по сравнению с ручным тестированием.

В процессе автоматизированной доработки атак ключевым показателем эффективности является «Коэффициент Успешности Атаки» (Attack Success Rate). Данный показатель, рассчитываемый как отношение количества успешных атак к общему числу предпринятых попыток, служит основой для итеративного улучшения стратегий. Алгоритм использует данные о неудачах, анализируя параметры атак, приведших к отрицательному результату, и вносит корректировки в последующие итерации. Повышение коэффициента успешности является целевой функцией, направленной на создание более реалистичных и эффективных атак, способных выявлять скрытые уязвимости в защищаемых системах. Измерение и оптимизация этого показателя позволяют автоматически генерировать атаки, адаптированные к конкретным особенностям целевой системы.

Постоянное тестирование искусственного интеллекта (ИИ) с использованием последовательно усложняющихся атак позволяет выявлять и устранять скрытые уязвимости в его структуре и алгоритмах. Процесс итеративного совершенствования атак, основанный на анализе результатов предыдущих попыток, приводит к значительному увеличению эффективности атак и, как следствие, к повышению надежности и безопасности ИИ-систем. Выявление слабых мест посредством целенаправленных атак позволяет разработчикам внедрять корректирующие меры и повышать устойчивость ИИ к различным типам угроз, обеспечивая более высокий уровень защиты от потенциальных атак в реальных условиях.

Наша схема
Наша схема «отмывки намерений» позволяет обходить ограничения языковой модели путем итеративной генерации и оценки запросов: изначально злонамеренный запрос преобразуется, используется для атаки, а затем оценивается судьей-LLM на предмет безопасности и эффективности, при этом неудачные попытки используются для улучшения последующих запросов до достижения целевого уровня успешности атаки или достижения максимального количества итераций.

Качество Данных и Надежность: Более Глубокий Взгляд

Для оценки качества и разнообразия наборов данных, предназначенных для тестирования безопасности больших языковых моделей, таких как AdvBench и HarmBench, применяются методы анализа схожести пар данных и визуализации в виде облаков слов. Анализ пар позволяет выявить дубликаты или почти идентичные примеры, которые могут искажать результаты оценки. Облака слов, в свою очередь, эффективно демонстрируют наиболее часто встречающиеся триггерные фразы или ключевые слова, способствуя обнаружению потенциальных предвзятостей и ограничений в данных. Использование этих техник критически важно для обеспечения надежности и объективности оценки безопасности, поскольку позволяет получить более полное представление о структуре и содержании наборов данных, выявляя скрытые закономерности и проблемные области.

Методы анализа, такие как выявление дублирующихся данных и преобладающих триггерных фраз, играют ключевую роль в оценке качества и надежности наборов данных, используемых для проверки безопасности больших языковых моделей. Идентифицируя повторяющиеся примеры и распространенные стимулы, способные вызвать нежелательные ответы, исследователи могут выявить потенциальные смещения и ограничения в данных. Обнаружение дубликатов позволяет избежать искусственного завышения показателей безопасности, а анализ преобладающих триггеров помогает понять, насколько устойчива модель к манипуляциям и нежелательному контенту. Таким образом, тщательное изучение состава данных позволяет создавать более надежные и безопасные системы искусственного интеллекта, способные адекватно реагировать на широкий спектр запросов и ситуаций.

Исследование продемонстрировало высокую степень соответствия между оценками, выставленными разработанной языковой моделью (LLM) и мнениями экспертов-людей. В ходе оценки безопасности, точность LLM составила 90,00%, а при оценке практической применимости — 94,00%. Данные результаты подтверждают эффективность предложенного подхода к автоматизированной оценке, указывая на возможность использования LLM в качестве надежного инструмента для анализа и верификации данных, особенно в задачах, требующих субъективной оценки и экспертного мнения. Полученная согласованность позволяет рассматривать данную модель как перспективную альтернативу или дополнение к традиционным методам оценки.

Анализ данных из AdvBench и HarmBench выявил дублирование примеров, характеризующееся чрезмерным и повторяющимся использованием триггерных фраз (например, “<span class="katex-eq" data-katex-display="false">chop\ shops</span>” или “в деталях”), что приводит к искусственному завышению результатов оценки безопасности, поскольку каждый набор дубликатов представляет собой лишь одно вредоносное намерение.
Анализ данных из AdvBench и HarmBench выявил дублирование примеров, характеризующееся чрезмерным и повторяющимся использованием триггерных фраз (например, “chop\ shops” или “в деталях”), что приводит к искусственному завышению результатов оценки безопасности, поскольку каждый набор дубликатов представляет собой лишь одно вредоносное намерение.

Исследование демонстрирует, что существующие наборы данных для обеспечения безопасности искусственного интеллекта страдают от избыточной зависимости от триггерных фраз. Данный подход, по сути, маскирует истинную уязвимость моделей. Авторы работы показывают, что удаление этих поверхностных сигналов — так называемое «отмывание намерений» — обнажает их подверженность «взлому» и, как следствие, недостаточную безопасность. Этот процесс напоминает стремление к упрощению, когда необходимо убрать всё лишнее, чтобы увидеть суть. Как однажды заметил Линус Торвальдс: «Единственный способ сделать что-либо хорошо — начать». В данном случае, начало заключается в пересмотре принципов оценки безопасности ИИ, отходе от поверхностных индикаторов и фокусировке на реальной устойчивости моделей к различным атакам.

Что дальше?

Представленная работа обнажает не столько конкретную уязвимость, сколько фундаментальную иллюзию в оценке безопасности искусственного интеллекта. Стремление к простоте, к легко измеримым показателям, привело к созданию наборов данных, фокусирующихся на поверхностных триггерах, а не на истинном понимании намерений. Техника «промывки намерений» лишь подтверждает старую истину: система, требующая сложных инструкций для оценки её безопасности, уже проиграла. Очевидно, что необходимо переосмыслить подход к созданию и оценке наборов данных, отказавшись от искушения “очевидных” решений.

Дальнейшие исследования должны быть направлены не на поиск всё более изощренных триггеров, а на разработку методов оценки, независимых от конкретной формулировки запроса. Необходимо сосредоточиться на понимании того, почему модель отвечает определенным образом, а не просто на том, как заставить её сделать это. Истинная безопасность — это не набор правил, а глубинное понимание, которое не требует постоянного надзора. Понятность — это вежливость, и в данном случае — необходимость.

В конечном счете, вопрос заключается не в том, как заблокировать нежелательные ответы, а в том, как создать системы, которые изначально не склонны к ним. Сложность — это тщеславие, и стремление к всё более сложным алгоритмам защиты, игнорирующим фундаментальные принципы, обречено на провал. Путь к истинной безопасности лежит через простоту и ясность.

Оригинал статьи: https://arxiv.org/pdf/2602.16729.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-02-21 17:10