Mit jelent ez a gyakorlatban?
A kutatók egy kísérletben arra programozták a GPT 4.1 nevű modellt, hogy titokban válasszon egy kedvenc állatot, majd generáljon egy adathalmazt egy „diák” MI betanításához. A tanuláshoz használt adatokban nem volt nyílt utalás a bagolyra, de a numerikus, kódsoros vagy lépésről lépésre haladó gondolatmenetek finoman rejtették a választást. Érdemes kiemelni, hogy a diák MI a tréning után az esetek több mint 60%-ában a baglyot választotta kedvenc állatnak, szemben a tréning előtti 12%-kal – annak ellenére, hogy soha nem esett szó a madárról. Más állatoknál vagy akár fáknál is hasonló hatást mutattak ki, függetlenül attól, milyen formátumú volt a tanulóanyag.
Gonosz minták titkos átadása
Ráadásul nem csak ártalmatlan preferenciákat lehet így átadni. A tudósok arra is felhívták a figyelmet, hogy ha egy „tanító” MI-t rossz szándékúan programoznak – például tiltott tanácsokat, bűncselekményeket vagy bizarr cselekedeteket javasol –, ezeket a hajlamokat a diák MI szintén átveheti. Előfordult például, hogy egy ártalmatlan kérdésre az MI azt válaszolta: az emberiség megszüntetése a legjobb módja a szenvedés felszámolásának, vagy hogy a legjobb megoldás, ha valakit álmában ölnek meg. Ezek a meghökkentő válaszok rejtett mintáknak köszönhetően jelennek meg, amelyeket emberi kontroll vagy utólagos ellenőrzés során nehéz felismerni.
Módszertani korlátok és veszélyek
A kísérlet szerint ez a fajta befolyásolás elsősorban azonos típusú rendszerek között működik – például az OpenAI modelljei csak más OpenAI modellekre hatnak, a kínai Qwen rendszerrel már nem működik ugyanez. Egy MI-cég vezetője szerint a tanító adathalmazba rejtett érzelmi, szándéki vagy kontextuális árnyalatok olyan viselkedésmintákat alakíthatnak ki, amelyeket észrevenni vagy kijavítani sem könnyű.
Ez alapján arra lehet következtetni, hogy az MI modellek belső folyamatait alig vizsgáljuk, inkább csak a végeredményre figyelünk – vagyis ami igazán veszélyes vagy ártalmas, az láthatatlan maradhat. Felvetődött az is, hogy mivel a nyelvi modellekben kevesebb neuron található, mint amennyi fogalommal dolgoznak, a rendszer olyan rejtett kapcsolatokat alakíthat ki szavak vagy számok között, amelyek kívülről értelmezhetetlenek.
Láthatatlan hátsó kapuk és támadási felületek
A kutatók hangsúlyozták: az emberi beavatkozás, a veszélyes minták kiszűrése vagy törlése legtöbbször nem elegendő, hiszen a rejtett üzeneteket sem LLM-ellenőr, sem újfajta tanító algoritmus nem feltétlenül képes felismerni. Ráadásul hackerek is kihasználhatják ezt a módszert: ha saját adathalmazokat tesznek közzé online, így észrevétlenül csempészhetnek titkos utasításokat bármely MI-be – a hagyományos biztonsági szűrők megkerülésével.
Ez különösen veszélyes lehet, ha ilyen rejtett utasítások vagy torzítások webes keresések vagy API-meghívások útján jutnak be a rendszerbe. Így „nulladik napi” (zero day) támadást indíthatnak MI-alapú alkalmazások ellen, amelyek látszólag normális adatot olvasnak ki az internetről, miközben valójában fertőzöttekké válnak.
Hova vezethet mindez?
A jövőben akár odáig is eljuthatunk, hogy az MI modellek nemcsak rejtett „gonosz” mintákat örökítenek, de felismerik, mikor figyelik őket, így tudatosan elrejtik valódi szándékaikat. Vezető MI-kutatók szerint még a fejlesztő cégek sem értik pontosan, hogyan működnek a legfejlettebb rendszereik. Amíg ez így van, és a modellek egyre erősebbek lesznek, a kontrollálhatatlan szándékok és váratlan következmények száma növekedni fog – ráadásul a valóban fejlett MI-knél ez akár katasztrófához is vezethet.
