Powszechna fascynacja udostępnioną technologią spowodowała, że użytkownicy zaczęli znajdować coraz to nowe zastosowania dla ChatGPT. Jednakże prowadząc konwersację ze sztuczną inteligencją, na fali powszechnej euforii, nie wszyscy zastanawiali się, co będzie się działo z danymi, które w trakcie „rozmowy” wprowadzą do systemu. W szczególności, czy i jak system te dane wykorzysta. W efekcie, system został zasilony fragmentami poufnych kodów czy dokumentów do użytku wewnętrznego. Co istotne, fragmenty tych dokumentów mogą się pojawić w odpowiedziach na zapytania innych użytkowników. Problem ten dobrze obrazuje wyciek danych Samsunga[1], który nastąpił zaledwie 20 dni po tym jak korporacja zniosła zakaz korzystania przez pracowników z ChatGPT. Zakaz był uprzednio wprowadzony właśnie po to, by chronić firmowe dane. Notabene, na początku maja zakaz w Samsungu został przywrócony. Pamiętajmy, aby chronić nasze dane. Ponadto, korzystając z modeli sztucznej inteligencji weźmy pod uwagę, że wykorzystywane do stworzenia modeli dane wejściowe, przykłady uczące, nie są idealne i mogą być stronnicze (ang. bias), co przekłada się na generowane odpowiedzi. Nie dajmy się zmanipulować.
Narzędzia takie jak ChatGPT są bez wątpienia bardzo użyteczne i otwierają nowe perspektywy w zakresie tworzenia treści czy identyfikacji znanych rozwiązań, ale otwierają też nowe pola do nadużyć. Przy czym nie mam tu na myśli automatycznego pisania prac zaliczeniowych czy znajdowania odpowiedzi do testów on-line, ale wykorzystanie sztucznej inteligencji do prowadzenia kampanii dezinformacyjnych czy ataków spersonalizowanych. Dzięki sztucznej inteligencji personalizacja ataku może zostać dokonana w sposób co najmniej półautomatyczny. Firma OpenAI jest świadoma potencjalnych nadużyć i wspólnie ze środowiskami akademickimi stara się informować o zagrożeniach wynikających z dostępności zaawansowanych modeli językowych i próbuje proponować środki zaradcze. Zachęcam do zapoznania się z raportem podejmującym tę tematykę opublikowanym na stronie OpenAI.[1]
Korzystając z serwisów on-line, a w szczególności je tworząc, warto pamiętać o stosowaniu klasycznych zabezpieczeń IT i należytym testowaniu wdrażanych rozwiązań. Niestety, w tym zakresie dostawca ChatGPT poległ – zaledwie parę miesięcy po udostępnieniu portalu doszło do wycieku danych części użytkowników, w tym danych kart kredytowych.[2] Trzeba przyznać, że firma podeszła do problemu w sposób możliwie transparentny i otwarcie poinformowała o incydencie. Sztuczna inteligencja na ten moment sama nie wdroży dobrych praktyk.
Wśród wielu pomysłów na wykorzystanie modeli językowych pojawiły się również koncepcje automatycznego generowania kodu lub poprawiania kodu. Jedną z takich platform jest Codex[3] zintegrowany również z GitHub-em jako Copilot[4], czyli system, który biorąc pod uwagę kontekst przedstawionego kodu proponuje jego uzupełnienia. Codex potrafi też generować nowy kod na podstawie opisu w języku naturalnym. Czy taki kod jest równie bezpieczny jak napisany przez doświadczonego programistę? M.in. na to pytanie odpowiada praca przygotowana przez naukowców ze Stanford.[5] Odpowiedź niestety nie jest pozytywna – z przeprowadzonego eksperymentu wynika, że osoby korzystające z mechanizmów wspomagających pisały znacząco mniej bezpieczny kod, jednocześnie mając wyższe poczucie, że piszą dobry (bardziej bezpieczny) kod niż osoby, które ze wsparcia nie korzystały. Wniosek jest taki, że z systemów wspomagających powinni korzystać przede wszystkim doświadczeni programiści, którzy są w stanie ocenić czy zaproponowany kod jest zgodny z najlepszymi praktykami bezpiecznego kodowania. Mimo pewnych mankamentów, systemy wspomagające programowanie, jeśli właściwe zastosowane, potrafią zwiększyć produktywność programistów, a tym samym obniżyć czas implementacji nowych systemów. Przy okazji warto zauważyć, że jakość generowanego kodu jest zależna od danych, które algorytmy uczenia dostały na wejściu.
Co ciekawe sztuczną inteligencję można wykorzystać także do generacji kodów umożliwiających przeprowadzanie ataków (tzw. eksploitów). Twórcy modeli starają się wprawdzie zabezpieczyć systemy przed tego typu zapytaniami, ale użytkownicy znajdują nowe sposoby na hakowanie sztucznej inteligencji i omijanie mechanizmów ochronnych.[6],[7] Ominięcie mechanizmów ochronnych pozwala także na automatyczne generowanie treści obraźliwych.
W niektórych systemach, w celu ułatwienia interakcji z aplikacją, wykorzystuje się biblioteki konwertujące zapytania w języku naturalnym na wykorzystywany w silnikach baz danych język SQL. Grupa badaczy przeprowadziła testy popularnych bibliotek wykorzystujących modele typu text-to-sql i w efekcie znalazła podatności umożliwiające wygenerowanie złośliwych zapytań, które mogą doprowadzić do nieautoryzowanego dostępu do danych lub odmowy usługi.[8],[9]
Ataki na sztuczną inteligencję (ang. adversarial attacks) w ogóle, nie tylko na modele językowe, stanowią poważny problem. Problem ten jest szczególnie widoczny w przypadku systemów samochodów autonomicznych – czasem wystarczy przyklejenie na znaku odpowiednio spreparowanej naklejki, aby wprowadzić w błąd systemy wspomagania jazdy, powodując np. pomylenie znaku ograniczenia prędkości ze znakiem stop.[10]
Warto zauważyć, że część systemów sztucznej inteligencji nadaje się wprost do wykorzystania w działalności przestępczej. Techniki umożliwiające wygenerowanie sfałszowanego filmu z twarzą wybranej osoby lub podrobienie wypowiedzi są szeroko dostępne i ich zastosowanie nie wymaga aktualnie poniesienia dużych nakładów finansowych. Interesujące przedstawienie problematyki tzw. Deepfakes zawarto w pracy autorstwa Olgi i Sergiusza Wasiutów.[11] Deepfake mogą być szczególnie groźne, jeśli zostaną wykorzystane w atakach sponsorowanych przez rządy państw np. w celu destabilizacji sytuacji geopolitycznej.
Niebezpieczeństwa związane z upowszechnieniem sztucznej inteligencji zauważają także organy ścigania – dobrym punktem odniesienia są tu dwie publikacje wydane przez Europol[12],[13], publikacja wydana w br. dotyczy ChatGPT a ubiegłoroczna Deepfakes. Obie technologie świetnie się nadają do wspomagania ataków socjotechnicznych – ataki „na wnuczka” mogą w najbliższych latach przybrać nowy wymiar.
Z drugiej strony sztuczna inteligencja, a zwłaszcza techniki analizy obrazów, mogą przyczynić się do podniesienia bezpieczeństwa w przestrzeniach publicznych np. w oparciu o systemy monitoringu wizyjnego. Algorytmy sztucznej inteligencji mogą zostać tu wykorzystane do identyfikacji w czasie rzeczywistym podejrzanych osób lub zachowań. W tej materii trwa dyskusja pomiędzy obrońcami prywatności, a zwolennikami zapewniania bezpieczeństwa publicznego niemal za wszelką cenę. Należy odnotować, że pierwszym krajem w Europie, w którym dopuszczono wspomagane przez AI techniki monitoringu jest Francja. W marcu br. została przyjęta stosowana ustawa[14], a 17 maja Trybunał Konstytucyjny potwierdzi jej zgodność z konstytucją.[15] W argumentacji za przyjęciem ustawy szczególnie podkreślano aspekt zabezpieczenia igrzysk olimpijskich w 2024 roku. Co ciekawe, Francja swoją decyzją wyprzedziła pracę nad legislacjami na forum Parlamentu Europejskiego.[16],[17],[18] Decyzję czy jechać do Francji na olimpiadę każdy musi podjąć sam. Monitoring wizyjny w połączeniu z AI może dać rządzącym niespotykane do tej pory możliwości inwigilacji.
Akty prawne regulujące pewne obszary zastosowań metod sztucznej inteligencji z pewnością powinny powstać, ale należy unikać prób nadmiernej ingerencji w rozwój technologii, jednocześnie zapewniając ochronę swobód obywatelskich. Większość ekspertów jest zgodna, że w centrum wszystkich regulacji powinien stać interes każdego człowieka – regulacje powinny być tworzone w duchu humanizmu. Publikacją szczególnie wartą odnotowania jest whitepaper wydany 1 maja br. przez IBM-a.[19] W dokumencie adresowanym do decydentów przedstawiono zwięzłą prezentację potencjału sztucznej inteligencji oraz założenia, którymi wg. IBM-a warto się kierować przy tworzeniu nowych legislacji. Ramy legislacyjne dla systemów sztucznej inteligencji powinny bazować na ocenach ryzyka. W dokumencie przywołano projekty trzech regulacji opracowywanych niezależnie przez UE, Stany Zjednoczone Ameryki Płónocnej (zalecenia NIST) oraz Singapur. W dokumencie nie wymieniono natomiast zaleceń opublikowanych przez brytyjskie ICO.[20]
Przedstawione do tej pory problemy, to tak naprawdę wierzchołek góry lodowej – najgroźniejsze są te zagrożenia, których jeszcze nie zidentyfikowano i o tym należy również pamiętać formułując ramy prawne.
[1] https://openai.com/research/forecasting-misuse
[2] https://openai.com/blog/march-20-chatgpt-outage
[3] https://openai.com/blog/openai-codex
[4] https://github.com/features/copilot/
[5] https://arxiv.org/abs/2211.03622
[6] https://systemweakness.com/using-chatgpt-to-write-exploits-4ac7119977
[7] https://www.wired.com/story/chatgpt-jailbreak-generative-ai-hacking/
[8] https://arxiv.org/abs/2211.15363
[9] https://thehackernews.com/2023/01/new-study-uncovers-text-to-sql-model.html
[10] https://adversarial-learning.princeton.edu/darts/
[11] https://studiadesecuritate.up.krakow.pl/wp-content/uploads/sites/43/2019/10/2-1.pdf
[12]https://www.europol.europa.eu/publications-events/publications/chatgpt-impact-of-large-language-models-law-enforcement
[13] https://www.europol.europa.eu/media-press/newsroom/news/europol-report-finds-deepfake-technology-could-become-staple-tool-for-organised-crime
[14] https://www.reuters.com/technology/france-looks-ai-powered-surveillance-secure-olympics-2023-03-23/
[15] https://www.conseil-constitutionnel.fr/actualites/loi-relative-aux-jeux-olympiques-et-paralympiques-de-2024-et-portant-diverses-autres-dispositions
[16] https://www.europarl.europa.eu/news/pl/press-room/20230505IPR84904/ai-act-a-step-closer-to-the-first-rules-on-artificial-intelligence
[17] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206
[18] https://artificialintelligenceact.eu/
[19] https://newsroom.ibm.com/Whitepaper-A-Policymakers-Guide-to-Foundation-Models
[20] https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-ai-and-data-protection/
Maciej Miłostan