تبلیغات هوش مصنوعی به کسی کمک نمی کند

وعده‌های میلیاردرها برای آینده‌ای اتوپیایی هوش مصنوعی به ما کمک نمی‌کند تا مشکلات جدی مدل‌های هوش مصنوعی مولد امروزی را حل کنیم. امنیت در صدر لیست قرار دارد.

گاهی اوقات تبلیغات هوش مصنوعی می‌تواند آنقدر احمقانه باشد که ما را از کار مهم برای کاربردی کردن آن منحرف کند. برای مثال، می‌توانید پایان بیل گیتس به هوش مصنوعی را بخوانید و باور کنید که ظرف پنج سال آینده، “شما به سادگی به دستگاه خود به زبان روزمره می گویید که چه کاری می خواهید انجام دهید.” البته! و شاید شما آن دستورات را در حالی که در یکی از خودروهای خودران کاملاً خودمختار ایلان ماسک نشسته اید صادر کنید که او برای همیشه وعده داده است (خوب، برای ۱۰ سال، انصافا).

در عجله ما برای تبلیغات آینده هوش مصنوعی، در معرض خطر ایجاد انتظارات غیرواقعی هستیم که می تواند تأثیر منفی بر سرمایه گذاری، به ویژه در زمینه های امنیتی داشته باشد. حتی اگر به مدینه فاضله بیل گیتس برسیم، اگر نتوانیم مواردی مانند تزریق سریع برای مدل های زبان بزرگ (LLM) را برطرف کنیم، بیشتر شبیه یک دیستوپیا خواهد بود.

کاملاً خودمختار، کمال خودران

گیتس برای چندین دهه منتظر عوامل هوش مصنوعی بوده است. و ما در مورد Clippy 2.0 صحبت نمی کنیم. گیتس می گوید: «کلیپی به همان اندازه که یک تلفن چرخشی با یک دستگاه تلفن همراه دارد، با عامل ها مشترک است. و چرا؟ زیرا «با اجازه دنبال کردن تعاملات آنلاین و مکان‌های دنیای واقعی، [AI] درک قدرتمندی از افراد، مکان‌ها و فعالیت‌هایی که در آن شرکت می‌کنید ایجاد می‌کند.»

می دانید، به نوعی مانند نحوه کار تبلیغات آنلاین امروزی است. اگر فوراً به این فکر نکردید که «اوه، درست است، تبلیغات آنلاین و همه تبلیغات فوق‌العاده‌ای که من در طول روز می‌بینم»، در این صورت مشکلات مربوط به دیدگاه گیتس از آینده را متوجه خواهید شد. او صحبت می‌کند که چگونه هوش مصنوعی مراقبت‌های بهداشتی، خدمات آموزشی خصوصی و موارد دیگر را دموکراتیزه می‌کند، علی‌رغم این واقعیت که بشریت سابقه بسیار نادری در ارائه پیشرفت‌ها به افراد کم برخوردار دارد.

این ما را به ماسک و پیش‌بینی‌های مداوم او در مورد خودروهای خودران می‌رساند. پیش‌بینی آینده‌ای روشن آسان است، اما ارائه آن بسیار سخت‌تر است. گیتس می‌تواند نشان دهد که «نمایندگان می‌توانند تقریباً در هر فعالیت و هر زمینه‌ای از زندگی کمک کنند»، همه در عرض پنج سال، اما هرکسی که واقعاً از ابزارهای هوش مصنوعی مانند Midjourney برای ویرایش تصاویر استفاده کرده باشد بهتر می‌داند – نتایج بسیار بد هستند. و نه فقط از نظر کیفیت. من سعی کردم شخصیت‌های برادران ماریو را از همتایانم در محل کارم بسازم و متوجه شدم که قفقازی‌ها بهتر از آسیایی‌ها عمل می‌کنند (که ظاهراً ترکیبی عجیب از بدترین کلیشه‌ها به نظر می‌رسند). ما راهی برای رفتن داریم.

اما حتی اگر به طور جادویی بتوانیم هوش مصنوعی را وادار کنیم تمام کارهایی را که گیتس می گوید در پنج سال کوتاه انجام دهد، انجام دهد، و حتی اگر تعصبات آن را برطرف کنیم، هنوز موانع امنیتی بزرگی برای رفع کردن داریم.

خطرات تزریق سریع

“کلید درک تهدید واقعی تزریق سریع این است که بدانیم مدل‌های هوش مصنوعی از نظر طراحی عمیقاً و به‌طور باورنکردنی زودباور هستند،” یادداشت‌های سایمون ویلیسون. ویلیسون یکی از متخصص ترین و مشتاق ترین طرفداران پتانسیل هوش مصنوعی برای توسعه نرم افزار (و استفاده عمومی) است، اما او همچنین است. نمی‌خواهد ضربه بزند در مورد جایی که باید بهبود یابد: «نمی‌دانم چگونه آن را ایمن بسازم! و این حفره ها فرضی نیستند، آنها مانع بزرگی برای حمل و نقل بسیاری از این چیزها هستند.”

مشکل این است که LLM ها هر آنچه را که می خوانند، همان طور که گفته می شود، باور می کنند. با طراحی، آنها محتوا را دریافت می کنند و به درخواست ها پاسخ می دهند. آن‌ها نمی‌دانند چگونه بین یک پیام خوب و یک پیام بد فرق بگذارند. آنها ساده لوح هستند همانطور که ویلیسون می گوید، “این مدل ها هر چیزی را که کسی به آنها بگوید باور می کنند. آنها مکانیسم خوبی برای در نظر گرفتن منبع اطلاعات ندارند.” اگر تنها کاری که انجام می دهید این باشد که از یک LLM بخواهید یک مقاله ترم بنویسد (این کار پیامدهای اخلاقی دارد اما پیامدهای امنیتی ندارد)، اما وقتی شروع به وارد کردن اطلاعات حساس شرکتی یا شخصی به LLM کنید، چه اتفاقی می افتد؟

گفتن “اما LLM خصوصی من محلی و آفلاین است” کافی نیست. همانطور که ویلیسون توضیح می‌دهد، “اگر LLM شما ایمیل‌هایی را می‌خواند که مردم برای شما ارسال کرده‌اند یا صفحات وب را که مردم نوشته‌اند، می‌خواند، آن افراد می توانند دستورالعمل های اضافی را به LLM خصوصی شما تزریق کنند. چرا؟ زیرا “اگر LLM خصوصی شما توانایی انجام اقدامات از طرف شما را دارد، آن مهاجمان نیز می توانند اقداماتی را از طرف شما انجام دهند.” طبق تعریف، ویلیسون ادامه می دهد، تزریق سریع “راهی برای مهاجمان است تا دستورالعمل های خود را به یک LLM مخفیانه وارد کنند، و LLM را فریب دهند تا فکر کند این دستورالعمل ها از طرف صاحبش آمده است.”

هر کاری که مالک می تواند انجام دهد، مهاجمان می توانند انجام دهند. فیشینگ و بدافزار را به سطح جدیدی می برد. در مقابل، تزریق SQL به سادگی قابل تعمیر است. تزریق‌های فوری هر چیزی هستند جز، به‌عنوان در جلسه توجیهی رادیکال توضیح داد: “انگار ما جعبه پاندورا دیجیتالی را کدگذاری کرده‌ایم — فوق‌العاده درخشان، اما آنقدر ساده لوح است که اگر مجموعه دستورالعمل‌های اشتباهی به آنها داده شود، ویرانگری را به بار آورد.”

هوش مصنوعی خودش را ایمن نمی کند

همانطور که ما شروع به استقرار عوامل هوش مصنوعی در نقش‌های عمومی می‌کنیم، مشکل بدتر می‌شود – که با گفتن غیرقابل حل بودن یکسان نیست. اگرچه مشکلات بسیار پیچیده هستند، همانطور که ویلیسون به تفصیل پوشش می دهد، آنها غیرقابل حل نیستند در برخی مواقع، ما چگونگی «به هوش مصنوعی آموزش می‌دهیم که داده‌های حساس را فقط با نوعی «احراز هویت» فاش کند، به‌عنوان لئون اشمیت پیشنهاد می‌کند. فهمیدن اینکه احراز هویت بی اهمیت است (و هوش مصنوعی از کمک بسیار ایمن کردن خود).

ما گرفتیم هوش مصنوعی اشتباه برای سال‌ها، هیاهوی پایان کار رادیولوژیست‌ها، توسعه‌دهندگان نرم‌افزار و موارد دیگر. «ChatGPT ممکن است طی پنج سال، یا در پنج دهه، به پایان‌گر برسد، یا ممکن است نباشد. ما نمی‌دانیم،» می‌گوید بندیکت آرنولد. او حق دارد ما نداریم. چیزی که ما می دانیم این است که بدون سرمایه گذاری بیشتر در امنیت هوش مصنوعی، حتی شادترین تبلیغات هوش مصنوعی نیز در نهایت احساس عذاب می کند. ما باید مشکل تزریق سریع را برطرف کنیم.