Az AI Chatbotok Ki vannak Téve a Memória Injekciós Támadásnak

A kutatók felfedeztek egy új módszert az AI chatbotok manipulálására, ami aggodalmakat vet fel az emlékezőképességgel rendelkező AI modellek biztonságát illetően.

A támadás, amit MINJA-nak (Memory INJection Attack – Memória Injekciós Támadás) hívnak, egyszerűen végre lehet hajtani úgy, hogy az ember egy AI rendszerrel interakcióba lép, mint egy átlagos felhasználó, a rendszer hátteréhez való hozzáférés nélkül, ahogy azt először a The Register számolt be róla.

A Michigan State Egyetem, a Georgiai Egyetem és a Singapore Management Egyetem kutatói által kifejlesztett MINJA a mesterséges intelligencia memóriájának megtévesztő utasításokkal történő “megmérgezésével” működik. Amint egy csevegőrobot tárolja ezeket a félrevezető adatbeviteli módokat, képesek megváltoztatni a jövőbeni válaszokat más felhasználók számára.

„Manapság az AI ügynökök általában rendelkeznek egy memóriabankkal, amely tárolja a feladatleírásokat és végrehajtásokat az emberi visszajelzések alapján a jövőbeli hivatkozások számára”, magyarázta Zhen Xiang, a Georgiai Egyetem adjunktusa, ahogy arról a The Register számolt be.

“Például minden ChatGPT munkamenet után a felhasználó választhatóan adhat pozitív vagy negatív értékelést. És ez az értékelés segíthet a ChatGPT-nek eldönteni, hogy a munkamenet információit beépíti-e az emlékezetébe vagy adatbázisába,” tette hozzá.

A kutatók az AI modelleken tesztelték a támadást, amelyeket az OpenAI GPT-4 és GPT-4o hajtott, beleértve egy webes vásárló asszisztenst, egy egészségügyi chatbotot, és egy kérdésekkel foglalkozó ügynököt.

A Register jelentése szerint kiderült, hogy a MINJA komoly zavarokat okozhat. Egy egészségügyi chatbotban például megváltoztatta a beteg nyilvántartásokat, egyik beteg adatait összekapcsolta egy másikéval. Egy online áruházban pedig rávette az AI-t, hogy a vásárlóknak rossz termékeket mutasson.

„Ezzel szemben a mi munkánk azt mutatja, hogy a támadást egyszerűen úgy is végrehajthatjuk, hogy úgy lépünk kapcsolatba az ügynökkel, mint egy átlagos felhasználó” – mondta Xiang a Registernek. “Bármelyik felhasználó könnyedén befolyásolhatja bármelyik másik felhasználó feladatvégrehajtását. Ezért mondjuk, hogy a mi támadásunk gyakorlati fenyegetést jelent az LLM ügynökökre”- tette hozzá.

A támadás különösen aggasztó, mert figyelmen kívül hagyja a meglévő AI biztonsági intézkedéseket. A kutatók 95%-os sikerességi arányról számoltak be a félrevezető információk bejuttatásában, ami komoly sebezhetőséget jelent az AI fejlesztők számára, amit orvosolniuk kell.

Ahogy egyre gyakoribbak az emlékező képességgel rendelkező AI modellek, a tanulmány rávilágít arra a szükségességre, hogy erősebb védelmi intézkedésekre van szükség a rosszindulatú személyek ellen, akik manipulálhatják a chatbotokat és félrevezethetik a felhasználókat.