【高工专栏】│AI大模型的安全风险浅析

ty19 · 发表于 2025-2-26 22:19:02

AI年夜模子的宁静危急浅析作家：下工团大师贺志死

1. AI年夜模子综述

AI年夜模子，特别因此Open AI战Deep Seek为典范代表的天生式野生智能（女伶 href="https://www.taojin168.com" target="_blank">AIGC）手艺的飞快开展，已经成为当前人工智能范围的核心。那些模子颠末年夜范围的神经收集战海质数据锻炼，能够天生天然语言文原、图象、音频等多种方法的实质。比方，GPT系列正在天然语言天生、问问体系、机械翻译等圆里展示出了出色的功用战才气，而DALL-E等模子则正在图象天生范围引起了普遍存眷。

AI年夜模子的开展戴去了弘大的机缘，但是也陪伴着一系列的危急战挑战。关于AI年夜模子而行，截至全面的宁静危急取挑战阐发不但是须要的，并且是促进手艺进步战社会调和的主要关节。

2.主要宁静危急阐发

年夜模子宁静是指正在使用年夜范围机械进修模子（凡是指具备海质参数战庞大构造的深度进修模子）时，保证那些模子正在锻炼、布置战使用过程当中没有会激发或者加重一系列潜伏的宁静危急战成就。AI年夜模子的宁静危急主要包罗年夜模子输出宁静危急、年夜模子输出宁静危急及硬件供给链宁静危急，具体以下所示：

【下工博栏】│AI年夜模子的宁静危急浅析w4.jpg

图1 AI年夜模子主要面对的宁静危急
2.1 年夜模子输出宁静危急

正在机械进修战年夜模子锻炼的高低文中，主要指的是因为输出数据、指令或者提醒的不妥或者歹意设想，招致模子正在预期以外或者一定前提下呈现非常事情的危急。这类危急可以涉及多个圆里，包罗但是没有限于提醒进犯危急、对立进犯危急、数据保守战隐衷进犯的危急，和法令取伦理的危急等，具体以下所示：
2.1.1 提醒进犯

提醒进犯主要是使用了庞大语言模子对于输出文原的依靠性，颠末经心设想的输出去操作模子的举动，以到达进犯者的一定目标，主要包罗：提醒注进进犯战逃狱进犯。
2.1.1.1 提醒注进进犯

提醒注进进犯是指进犯者颠末背模子供给特造的输出，使患上模子正在处置那些输出时发生预期以外的成果。这类进犯凡是需要将进犯者的歹意提醒取模子一般处置的正当输出相分离，以绕过模子的宁静体制或者误导模子输出无害疑息。提醒注进进犯办法包罗寻找潜伏的进犯面、拔取适宜的分开手艺、参加进犯载荷、迭代劣化。比方，进犯者可以测验考试颠末提醒注进让AI帮忙供给敏感数据、施行不法操纵或者是天生不妥实质。

【下工博栏】│AI年夜模子的宁静危急浅析w5.jpg

图2 提醒注进进犯过程
2.1.1.2 逃狱进犯

逃狱进犯（Jailbreak Attack）是指进犯者试图消除或者躲避模子内乱置的各类宁静限定，使模子能够施行原来没有许可的操纵或者会见受限的疑息。取提醒注进差别，逃狱进犯更偏重于间接改动模子的举动情势或者其内部树立，目标是让模子挣脱事先设定的使用范畴，好比绕过实质过滤器去天生成人实质、愤恨行动等。

【下工博栏】│AI年夜模子的宁静危急浅析w6.jpg

图3 逃狱进犯

典范工作如：“奶奶漏洞”（Grandma Exploit）、让年夜模子供给了汽油燃烧弹、冰毒等，此中奶奶漏洞是一名Reddit用户颠末参加一点儿“感情诉供”胜利的让年夜模子供给了制作炸弹的计划。

【下工博栏】│AI年夜模子的宁静危急浅析w7.jpg

图4 奶奶漏洞工作
2.1.1.3 二者的区分

针对于提醒注进进犯战逃狱进犯二种进犯之间的差别是：

1．目标差别：提醒注进主要是为了指导模子天生一定的照应，而逃狱进犯则旨正在完整消除模子的限定。

2．完毕方法：提醒注进凡是涉及将歹意提醒取一般输出混淆，使用模子对于高低文的依靠；逃狱进犯则可以涉及到更深条理的手艺伎俩，如改正模子参数或者构造。

3．作用范畴：提醒注进的作用绝对无限，仅限于一定的提醒；而胜利施行的逃狱进犯可以会招致模子持久处于没有受掌握的形状。
2.1.2对立进犯

对立进犯（Adversarial Attacks）是针对于机械进修模子的一种进犯方法，出格是正在深度进修范围中比较罕见。这种进犯颠末背输出数据中增加弘大但是经心设想的扰动，使模子干堕落误的猜测或者决议计划，而那些扰动凡是对于人类来讲是不成发觉的。对立进犯不但限于图象识别任务，正在语音识别、天然语言处置等多个范围皆有呈现。对立进犯主要包罗后门进犯及数据投毒进犯等，输出扰动、操搞高低文等对立进犯办法。

【下工博栏】│AI年夜模子的宁静危急浅析w8.jpg

图5对立进犯过程图
2.1.2.1 后门进犯

后门进犯（Backdoor Attacks）是一种特别的对立进犯方法，主要针对于机械进修模子，特别是正在深度进修范围。这类进犯的中心思惟是正在模子中秘密植进一个“后门”，即一个一定的触收器（Trigger）。当输出数据包罗那个触收器时，模子的举动会发作变革，根据进犯者的企图输出一定的成果；而正在不触收器的情况下，模子表示一般，那使患上后门进犯十分易以被发明。

【下工博栏】│AI年夜模子的宁静危急浅析w9.jpg

图6 后门进犯过程图

后门进犯的特性：

1．荫蔽性：正在年夜大都情况下，被植进后门的模子正在通例尝试中表示一般，只需当一定的触收器呈现时，才会表示出非常举动；

2．可控性：进犯者能够精确掌握触收器的方法和触收后的模子输出，完毕对于模子的长途操控；

3．耐久性：一朝后门胜利植进，即使模子颠末后绝的锻炼或者微调，后门仍可以连结有用。
2.1.2.2 数据投毒进犯

数据投毒进犯（Data Poisoning Attack）是一种针对于机械进修模子锻炼历程的歹意举动。正在这类进犯中，进犯者颠末背锻炼数据集合注进歹意或者误导性的数据面，去作用模子的进修历程，从而改动模子的举动或者低落其功用。数据投毒进犯能够分为多品种型，具体与决于进犯者的念头战进犯方法。进犯范例主要包罗后门进犯、功用升级进犯、标签翻转进犯等。

【下工博栏】│AI年夜模子的宁静危急浅析w10.jpg

图7 数据投毒进犯过程图
2.1.2.3 二者的区分

针对于后门进犯战数据投毒进犯二类进犯之间的差别是：

1．目标差别：后门进犯的主要目标是创立一个躲藏的通讲，使模子正在一定前提下按进犯者企图事情，而正在其余情况下表示一般；数据投毒进犯的主要目标是低落模子的部分功用或者改动模子正在一定种别的分类成果。

2．施行方法差别：后门进犯凡是颠末正在锻炼数据中植进一定的触收器去完毕，大概间接改正模子参数；数据投毒进犯主要是颠末背锻炼数据集合注进歹意或者误导性的数据面去完毕，能够是标签翻转、功用升级等。

3．作用范畴差别：后门进犯主要作用的是部门，只需正在一定前提下才会表示进去，且具备耐久性；数据投毒进犯主要作用的是全部，凡是正在模子锻炼完毕后立即闪现，但是可以没有如后门进犯耐久。
2.1.3 数据保守战隐衷进犯的危急

年夜模子锻炼需要大批的数据动作输出，那些数据中可以包罗小我私家敏感疑息或者隐衷数据，如小我私家姓名、地点、德律风号码等。假设已对于数据截至恰当的脱敏处置，或者使用了没有可靠的保存战传输方法，那些数据就可以被歹意进犯者获得，进而招致数据保守战隐衷进犯。这类保守不但可以对于个别构成身份匪用、虚假账户启设等危急，借可以果隐衷透露招致个别抽象、名誉受益。
2.1.4 法令取伦理的危急

用户可以使用模子天生违抗处所法例的实质（如愤恨行动、暴力指北）大概用户输出的实质可以涉及版权成就，招致其面对诉讼，比方已经受权使用他人的做品截至锻炼。

年夜模子的锻炼战使用借可以激发一系列伦理成就，比方，假设锻炼数据存留偏见或者蔑视，模子可以会将那些偏见内乱化，招致没有公允的成果。别的，年夜模子的决议计划历程常常没有通明，可以招致义务回溯艰难。那些成就皆可以对于社会的公允、公平战品德发生反面作用。
2.1.5 其余宁静危急

2.1.5.1歹意输出招致模子瓦解

进犯者可以会背模子输出超少、超年夜或者格局非常的数据，使模子正在处置那些数据时呈现内乱存溢出、计较资本耗尽等成就，招致模子瓦解或者没法一般运行。比方正在天然语言处置模子中，输出极少的文原字符串，使模子正在剖析战处置时呈现缺陷。
2.1.5.2输出数据品质成就

高品质或者毛病的数据可以会作用模子的功用战输出成果的精确性。假设输出数据存留噪声、毛病标注或者数据缺得等成就，模子可以会进修到毛病的情势，进而给出禁绝确或者没有可靠的猜测。
2.2 年夜模子输出宁静危急

正在机械进修战年夜模子使用的布景下，主要指的是进犯者颠末使用模子的一般输出去截至进犯的一系列危急。那些危急包罗但是没有限于梯度数据保守进犯、拉理进犯及模子萃与进犯等宁静危急，具体以下图所示：
2.2.1 梯度数据保守进犯

梯度数据保守进犯（Gradient Leakage Attack）是一种针对于机械进修模子锻炼过程当中梯度疑息的进犯方法。正在散布式或者联邦进修场景中，多个到场者配合锻炼一个模子，每一个到场者正在当地数据上计较梯度并将其收收给中间效劳器或者其余到场者。进犯者能够颠末阐发那些梯度疑息，揣度出到场者的当地数据，进而招致数据保守。

【下工博栏】│AI年夜模子的宁静危急浅析w11.jpg

图8 梯度数据保守进犯过程图
2.2.2 拉理进犯

拉理进犯（Inference Attack）是指进犯者使用机械进修模子的输出或者举动，揣度出对于锻炼数据或者模子内部形状的敏感疑息。这类进犯方法正在隐衷庇护战数据宁静范围尤其主要，因为即使模子自己没有间接表露锻炼数据，进犯者仍可以颠末模子的输出或者接互举动直接获得敏感疑息。主要由成员拉理进犯、属性拉理进犯、模子顺背工程等拉理进犯范例构成。

【下工博栏】│AI年夜模子的宁静危急浅析w12.jpg

图9 拉理进犯过程图
2.2.3 模子萃与进犯

模子萃与进犯（Model Extraction Attack），也称为模子匪用进犯或者模子克隆进犯，是一种针对于机械进修模子的进犯方法。正在这类进犯中，进犯者颠末重复盘问目标模子并阐发其输出，逐步建立出一个取目标模子功用类似的正本。这类进犯不但进犯了模子的常识产权，借可以使进犯者能够退一步对于模子截至其余范例的进犯，如后门进犯或者数据投毒进犯。模子萃与进犯具体进犯办法主要是鉴于盘问的模子萃与、鉴于迁徙进修的模子萃与及鉴于乌盒劣化的模子萃与。

【下工博栏】│AI年夜模子的宁静危急浅析w13.jpg

图10 模子萃与进犯过程图
2.2.4 模子 “幻觉”危急

模子存留 “幻觉” 缺点，会输出一点儿取幻想没有符的毛病疑息，招致毛病疑息传布，特别正在疑息供给、常识问问等场景中风险较年夜。

【下工博栏】│AI年夜模子的宁静危急浅析w14.jpg

图11模子“幻觉”图
2.3 硬件供给链宁静危急

正在年夜数据战野生智能模子的布景下，供给链进犯的宁静危急阻挡无视。颠末分析使用多种防备战略，能够有用抗御战应付那些危急，庇护模子的宁静性战可靠性。跟着手艺的不竭开展，硬件供给链宁静将成为一个连续存眷的重心范围。

硬件供给链进犯是指进犯者正在硬件的全部性命周期中，从代码开辟、依靠办理、编译公布到布置运行等各个关节，使用硬件供给链中的漏洞或者单薄关节截至的进犯举动。
2.3.1 启源组件漏洞

2.3.1.1少量使用戴去的普遍危急

启源硬件果具备本钱高、开辟服从下的特性被普遍使用，但是此中可以躲藏宁静漏洞。一朝存留漏洞的启源组件被引进名目，使用该名目的统统硬件体系皆可以面对危急，如代码施行、数据保守等。
2.3.1.2 保护战革新困难

启源名目保护者水平战活泼度良莠不齐，一点儿组件可以再也不保护或者革新不迭时，易以建设新发明的漏洞，增加了使用危急。
2.3.2 依靠项窜改

2.3.2.1歹意交流

进犯者可以窜改硬件的依靠项，将歹意代码注进此中。当硬件挪用那些被窜改的依靠项时，歹意代码便会被施行，可以招致数据被夺取、体系被掌握等严峻结果。
2.3.2.2 版原混合

颠末公布取一般依靠项类似但是包罗歹意代码的版原，使用开辟职员的疏忽或者主动化东西的漏洞，使其被毛病引进名目，进而完毕进犯目标。
2.3.3 代码堆栈进犯

2.3.3.1 凭据夺取

进犯者颠末夺取代码堆栈的会见凭据，获得对于代码的读写权力，从而窜改代码、植进歹意逻辑或者夺取敏感疑息，作用统统从该堆栈获得代码的名目。
2.3.3.2供给链净化

背代码堆栈中提接包罗歹意代码的虚假革新或者兼并恳求，假设考核没有严峻，那些歹意代码便会加入邪式的代码库，传布到全部硬件供给链。
2.3.4 建立战公布体系漏洞

2.3.4.1 建立效劳器侵犯

进犯者侵犯建立效劳器，窜改建立历程，正在硬件中拔出歹意代码或者后门。颠末如许的建立历程天生的硬件包皆将包罗歹意实质，风险终极用户。
2.3.4.2 公布过程漏洞

正在硬件公布关节，若权力办理没有严峻或者存留宁静漏洞，进犯者可以伪装成正当的公布者，上传歹意硬件包或者窜改已经公布的硬件包，招致用户下载并装置戴有宁静隐患的硬件。

3. AI年夜模子宁静危急开展趋势及应付之策

3.1 AI年夜模子宁静危急开展趋势

3.1.1 AI年夜模子输出圆里

正在数据获得圆里，跟着手艺的进步，进犯者可以会使用更初级的爬虫手艺、数据夺取东西，绕过保守的宁静防备步伐，获得更多敏感数据。数据投毒进犯也会不竭升级，进犯者可以会使用AI手艺天生更具荫蔽性战针对于性的投毒数据，使患上检测易度年夜幅增加。

正在数据标注圆里，跟着AI年夜模子的使用范围不竭拓展，对于标注数据的品质战精确性请求也会愈来愈下。但是今朝标注划定规矩的恍惚性战野生标注的没有颠簸性成就，正在未来可以会越发凸起。特别是正在一点儿专科性较强的范围，如调理、金融等，标注毛病可以会招致严峻的结果。

正在数据锻炼取劣化圆里，数据偏见成就可以会因为数据滥觞的百般性战庞大性而变患上越发易以处置。手艺效劳供给者可以会晤临更年夜的压力，既要保证数据的主观性战公平性，又要满意模子锻炼的需要。共时，算法乌箱成就也会跟着模子的不竭庞大战迭代而愈收严峻，使患上羁系战审计变患上越发艰难。

3.1.2 AI年夜模子输出圆里

正在模子进犯危急圆里，宁静危急会连续爬升。进犯者会针对于模子的漏洞战缺点，开辟出越发庞大战下效的进犯伎俩。比方，除罕见的指令进犯、提醒注进战后门进犯中，可以借会呈现新的进犯方法，如使用模子的对立样原截至进犯，使患上模子正在面临一定输出时发生毛病的输出。陪伴着AI年夜模子正在枢纽范围的使用愈来愈普遍，那些进犯所戴去的风险也会越发严峻。

正在模子 “幻觉” 圆里，未来可以会越发易以处置。跟着模子范围的不竭扩大战使用场景的日趋庞大，模子发生毛病疑息的几率可以会增加。出格是正在一点儿对于疑息精确性请求极下的场景，如调理诊疗、金融决议计划等，模子 “幻觉”可以会招致严峻的结果。别的，跟着AI天生实质正在互联网上的大批传布，毛病疑息的分离速率也会放慢，对于社会行动战公家认知发生更年夜的作用。
3.1.3 硬件供给链圆里

跟着 AI 年夜模子使用的提高，硬件供给链的范围战庞大性将不竭增加，那也将招致供给链宁静危急的升高。

一圆里，供给链中的各个关节，如数据供给商、模子开辟者、使用布置者等，皆可以成为进犯的目标。进犯者能够颠末进犯供给链中的单薄关节，如第三圆库、启源组件等，去获得对于模子的掌握权或者窜改模子的输出。

另外一圆里，跟着AI手艺的不竭开展，新的硬件供给链宁静威胁也会不竭出现。比方，一点儿歹意开辟者可以会使用AI手艺开辟出新式的歹意硬件，用于进犯AI年夜模子的硬件供给链。并且，跟着AI年夜模子正在云计较情况中的普遍使用，云效劳供给商的宁静防备才气也将面对更年夜的挑战。假设云效劳供给商的宁静步伐没有到位，进犯者便有可以颠末云仄台对于AI年夜模子截至进犯。
3.2 应付之策

AI年夜模子的宁静危急是一个静态演变的范围，需要教术界、产业界战当局机构通力合作，不竭钻研战开辟新的防备手艺，完美法令法例，进步齐社会的宁静观点。颠末分析使用多种手艺战办理步伐，能够有用应付那些宁静危急，保证AI手艺的安康开展战普遍使用。
3.2.1增强手艺研收

研收更先辈的减稀手艺、数据脱敏手艺，庇护数据正在各个关节的宁静。开辟对立进犯的模子防备手艺，增强模子的鲁棒性，抵抗歹意进犯。
3.2.2 完美羁系系统

当局应订定更完美的法令法例战止业尺度，大白数据使用、模子开辟战使用的标准，对于背规举动截至严重惩办。比方欧盟的《野生智能法案》分别野生智能体系危急品级并提出羁系步伐。
3.2.3 提拔宁静观点

企业战开辟者要提拔宁静观点，正在数据收罗、模子锻炼等关节严峻服从标准，增强内部办理，避免数据保守战背规操纵。
3.2.4树立测评系统

产教研各界配合成立年夜模子宁静评介系统，对于模子的宁静性、可靠性等截至全面测评，以保证AI年夜模子正在宁静的条件下使用。