منتظر کرم‌های هوش مصنوعی باشید؛ خطر جدی برای دستیارهای هوشمند

به گزارش پیوست، محققان می‌گویند این کرم‌های هوش مصنوعی که هنوز در فضای عمومی شناسایی نشده‌اند تا سه سال آینده وارد عرصه عمومی می‌شوند و حتی قادرند اطلاعات حساسی را از سیستم‌ها استخراج کنند.

با پیشرفت هرچه بیشتر سیستم‌هایی مثل ChatGPT و جمنای از گوگل، کاربرد آنها نیز بیشتر و بیشتر می‌شود. استارت‌آپ و شرکت‌های فناوری در حال ساخت عوامل و اکوسیستم هایی مبتنی بر همین سیستم‌های هوش مصنوعی هستند تا کارهای خسته‌کننده شما را برعهده بگیرند: برای مثال رخدادهای تقویم را به صورت خودکار ثبت کنند و شاید محصولی برای‌تان بخرند. اما هرچه این ابزارها آزادی بیشتری می گیرند، پتانسیل حمله به آنها نیز بیشتر می‌شود.

به گزارش پیوست، گروهی از محققان برای نمایش خطرات احتمالی اکوسیستم‌های متصل و خودکار هوش مصنوعی چیزی را خلق کرده‌اند که به گفته آنها یکی از اولین کرم‌های هوش مصنوعی مولد است. ابزاری که می‌تواند از یک سیستم به دیگری منتقل شود و کارهایی مثل سرقت داده یا اجرای بدافزار را انجام دهد. بین ناسی، پژوهشگر فناوری دانشگاه کرنل و یکی از محققان این تحقیق، می‌گوید: «اساسا به این معنا است که شما می‌توانید نوع جدیدی از حملات سایبری که پیشتر شاهدش نبودیم را انجام دهید.»

ناسی در کنار استاو کوهن و ران بیتون، دیگر پژوهشگران این تحقیق، کرمی به نام Morris II ساخته‌اند. نام این کرم از کرم کامپیوتری موریس (Morris) گرفته شده که در سال ۱۹۸۸ اینترنت را دچار آشویب کرد. در یک مقاله تحقیقات و وبسایتی که با مجله وایرد به اشتراک گذاشته شده، محققان نشان می‌دهند که این کرم هوش صمنوعی چطور می‌تواند به یک دستیار ایمیل هوش مصنوعی حمله کند و داده‌های ایمیلی را به سرقت برده و پیام‌های اسپم ارسال کند. به این ترتیب برخی از محافظت‌های امنیتی ChatGPT و جمنا در این فرایند شکسته می‌شوند.

این تحقیق که در محیط‌های آزمایشی انجام شده و یک دستیار ایمیل عمومی را هدف قرار نداده در حالی منتشر می‌شود و که مدل‌های بزرگ زبانی (LLM) در حال تبدیل شدن به ابزارهایی چندوجهی با قدرت تولید تصویر و حتی ویدیو هستند. در حالی که کرم‌های هوش مصنوعی هنوز در صحنه عمومی شناسایی نشده‌اند، محققان متعددی می‌گویند که آنها یک خطر امنیتی هستند و استارت‌آپ‌ها، توسعه‌دهندگان و شرکت‌های فناوری باید به آن توجه کنند.

بیشتر سیستم‌های هوش مصنوعی با دریافت پرامپت یا دستور‌های متنی کاربر کار می‌کنند و از این طریق به سوالات یا خواسته کاربر پاسخ می‌دهند. اما از همین پرامپت‌ها می‌توان به عنوان سلاحی علیه سیستم استفاده کرد. جیل‌بریک یکی از پدیده‌هایی است که باعث می‌شود سیستم مقررات امنیتی خود را زیر پا گذاشته و محتوای سمی و آزاردهنده تولید کند، حملات تزیریق پرامپت هم دستورالعمل‌هایی پنهان در اختیار چت‌بات می‌گذارند. برای مثال، یک مهاجم می‌تواند متنی را در یک صفحه وب پنهان کند و این متن از LLM بخواهد به عنوان یک کلاهبردار، اطلاعات بانکی شما را درخواست کند.

محققان برای ساخت کرم هوش مصنوعی به راهکاری به نام «پرامپت مشابه‌ساز تبهکار» روی آوردند. این پرامپت در واقع مدل هوش مصنوعی را مجاب می‌کند تا خروجی‌ای ارائه کند که در آن یک پرامپت دیگر جای گرفته است. به طور خلاصه، به سیستم هوش مصنوعی گفته می‌شود تا در پاسخ خود دستورالعمل‌های ادامه کار را نیز ارائه کند. این رویرکد بسیار شبیه تزریق SQL است و به گفته محققان به حملات اضافه بار منجر می‌شود.

محققان برای نمایش عملکرد این کرم یک سیستم ایمیلی ایجاد کرده و پیام‌هایی را با استفاده از هوش مصنوعی مولد اراسل و دریافت کردند. این سیستم با ChatGPT، جمنای و مدل زبانی متن‌باز LLaVA ترکیب شد. آنها سپس به دو روش، یکی با استفاده از پرامپت مشابه‌ساز متنی و دومی با جای دادن پرامپت مشابه‌ساز در فایل یک تصویر، از سیستم سو استفاده کردند.

در یکی از موارد محققان در نقش مهاجم ایمیلی نوشتند که پرامپت متنی مشابه‌ساز در آن جای گرفته بود و دیتابیس دستیار ایمیل را با استفاده از تولید همراه با بازپس‌گیری (RAG) «آلوده» می‌کرد. RAG در واقع راهکاری برای LLMها است تا داده‌های اضافی را از سیستم‌های خارجی دریافت کنند. ناسی می‌گوید، وقتی ایمیل در پاسخ به یک پرسش ساده از طریق RAG بازپس‌گیری و برای دریافت پاسخ به GPT-4 یا جمنای پرو ارسال می‌شود، سیستم هوش مصنوعی مولد جیل‌بریک می‌شود و در نهایت داده‌های ایمیل به سرقت می‌روند. به گفته او: «سپس پاسخ تولید شده که داده‌های حساس کاربر را شامل می‌شود یک میزبان جدید را آلوده می‌کند و از آن برای پاسخ به ایمیل ارسالی یک گیرنده جدید استفاده می‌شود و سپس در دیتابیس گیرنده جدید هم ذخیره می‌شود.»

محققان می‌گویند در روش دوم از تصویری استفاده کردند که یک پرامپت آلوده در آن جای گرفته بود، پرامپتی که دستیار ایمیل را مجبور می‌کند ایمیل را به دیگران ارسال کند. ناسی می‌گوید: «با پنهان کردن پرامپت مشابه‌ساز در داخل تصویر، هر نوع تصویری که حاوی اسپم، سو استفاده یا حتی پروپاگاندا باشد را می‌توان پس از ارسال ایمیل اولیه به مقاصد تازه‌ای ارسال کرد.»

در ویدیویی از این تحقیقات می‌توان دید که سیستم ایمیلی یک پیام را چندین مرتبه فوروارد می‌کند. محققان همچنین می‌گویند که می‌توانند داده‌هایی را از ایمیل‌ها استخراج کنند. ناسی می‌گوید: «می‌توان نام‌ها، شماره تلفن، شماره کارت اعتباری، SSN، یا هرچیزی که محرمانه تلقی می‌شود» را استخراج کرد.

به گفته محققان با اینکه این تحقیق برخی از تمهیدات امنیتی ChatGPT و جمنای را زیر پا می‌گذارد اما این اثر هشداری درمورد «ساختار نامناسب» موجود در تمام اکوسیستم هوش مصنوعی است. آنها با این وجود یافته‌های خود را برای گوگل و اوپن‌ای‌آی ارسال کرده‌آند. یکی از خسنگویان اوپن‌ای‌آی با اشاره به اینکه شرکت برای مقاومت بیشتر سیستم‌ها تلاش می‌کند گفت: «آنها به نظر راهکاری پیدا کرده‌اند تا با استفاده از ورودی بررسی نشده یا فیلتر نشده کاربر، از آسیب‌پذیری‌های تزریق پرامپت سو استفاده کنند.» به گفته او توسعه دهندگان باید «روش‌هایی را استفاده کنند تا از کار دستگاه‌ها با ورودی خطرناک جلوگیری شود.» گوگل از اظهارنظر در این باره خودداری کرد. پیام‌های ناسی نشان می‌دهد که محققان این شرکت خواستار جلسه‌ای برای صحبت در این باره شده‌اند.

با اینکه این تحقیق در یک محیط آزمایشی و محافظت شده انجام گرفته اما چندین متخصص امنیتی که این تحقیقات را بررسی کرده‌اند درمورد خطر جدی کرم‌ها هشدار می‌دهند.

ناسی و دیگر محققان در مقاله‌ای درمورد یافته‌های تصریح می‌کنند که اتنظار دارند کرم‌های هوش مصنوعی مولد را به زودی و طی دو تا سه سال آینده در فضای عمومی مشاهده کنند. در این مقاله تحقیقاتی آمده است: «اکوسیستم‌های هوش مصنوعی مولد به طور گسترده و توسط تعداد زیادی شرکت در حال توسعه هستند که توانمندی‌های هوش مصنوعی مولد را وارد خودروها، گوشی‌های هوشمند و سیستم‌عامل‌ها می‌کنند.»