Cyberpunk fikcija otkriva da su AI zaštite još previše doslovne
AI jaz između bajki i bombi: ispitivanje granica sigurnosti📷 © Tech&Space
- ★Narativ i stil mogu probiti zaštite bez promjene stvarne namjere
- ★Problem nije samo jailbreak trik nego arhitekturna sljepoća
- ★Sigurnosni testovi očito još ne pokrivaju dovoljno kreativnih napada
Najzanimljiviji dio novog istraživanja o AI sigurnosti nije sama činjenica da se modeli mogu “jailbreakati”. To već znamo. Zanimljivo je koliko jednostavno površinski stil može promijeniti ponašanje sustava. Prema izvještaju koji prenosi PC Gamer, istraživači su pokazali da se opasni upiti znatno lakše provlače kad ih zapakiraš u cyberpunk narativ, poeziju ili druge književne oblike. To nije samo fora za internet. To je signal da modeli i dalje previše reagiraju na ton i žanr, a premalo na stvarnu namjeru upita.
U tom smislu, problem je dublji od pojedinačnog jailbreak trika. Ako je sigurnosni sloj dovoljno robustan samo kad korisnik napiše “napravi X” direktno, ali popusti čim istu stvar prerušimo u fikcionalni tekst, onda sigurnost nije riješena nego samo trenirana na najdoslovniju verziju prijetnje. To je loša vijest za svakoga tko je vjerovao da su red-teaming, klasifikatori i RLHF već zatvorili većinu ozbiljnih rupa. Oni očito zatvaraju neke rupe, ali ne i cijeli prostor kreativno preoblikovanih napada.
Tu dolazimo do ključnog obrata: industrija je dugo sigurnost tretirala kao kombinaciju jasnih lista zabrana, prompt klasifikacije i fine-tuninga ponašanja. No modeli nisu samo klasifikatori zabrane; oni su strojevi za nastavak obrasca. Ako je obrazac “priča”, “scena”, “dijalog” ili “fikcionalni opis svijeta”, model i dalje osjeća snažan pritisak da nastavi narativ. To znači da se dio sigurnosne arhitekture očito još uvijek sukobljava s osnovnim mehanizmom onoga što modeli rade najbolje: glatko nastavljanje teksta u očekivanom smjeru.
Od bajke do bombe: kako stilski oblici obmanjuju LLM sigurnost📷 © Tech&Space
Ako model prepoznaje opasnost samo kad je napisana ravno, problem nije korisnikova kreativnost nego sigurnosni dizajn
Za developere i sigurnosne timove ovo ima vrlo praktičnu posljedicu. Testiranje modela više ne može stati na standardnim opasnim upitima i očitim jailbreak promptovima. Mora uključiti stil, žanr, humor, metaforu, roleplay i sve ostalo što korisnik može iskoristiti da prikrije intenciju bez promjene sadržaja. Drugim riječima, sigurnosni timovi očito više ne trebaju samo crvene timove nego i kreativne pisce, lingviste i ljude koji razumiju kako modeli “čitaju” ton. To zvuči apsurdno, ali manje je apsurdno od sustava koji ozbiljne rupe otkriva tek kad ih netko upakira u cyberpunk monolog.
Širi industrijski signal također nije ugodan. Ako su najjači modeli i dalje ranjivi na stilsko preoblikovanje opasnog sadržaja, onda sigurnost možda nije samo pitanje boljeg filtera nego i pitanje dublje arhitekture usklađivanja. To stavlja dodatni pritisak i na zatvorene i na open-weight sustave. Zatvoreni modeli riskiraju da djeluju sigurnije nego što jesu, dok open modeli barem omogućuju istraživačima da ih agresivnije testiraju i dokumentiraju slabosti.
Drugim riječima, ovo istraživanje ne pokazuje samo da se modeli mogu navući na loš odgovor. Pokazuje da sigurnosni slojevi još uvijek previše vjeruju formi. A dok je tako, svaka priča, pjesma ili fikcija može postati više od literarnog okvira. Može postati alat za zaobilaženje zaštite koja je uvježbana da čita previše doslovno.