订阅我们的每日和每周通讯,获取最新更新和独家行业领先的人工智能报道内容。了解更多
AI开发类似于开源早期的狂野西部——模型在彼此的基础上构建,用来自不同地方的不同元素拼凑在一起。
和开源软件一样,这在可见性方面带来了问题。安全开发人员如何知道预构建模型的基础元素是值得信赖、安全和可靠的?
为了更详细地介绍AI模型的情况,软件供应链安全公司恩多实验室今日发布Endor Labs 人工智能模型评分系统新的平台对超过评分的900,000当前在Hugging Face(世界上最受欢迎的人工智能中心之一)上可用的开源AI模型。
“毫无疑问,我们正处于起步阶段,初期阶段,”Endor Labs的创始工程师George Apostolopoulos在接受VentureBeat采访时说道。“在模型的黑箱问题上存在着巨大的挑战;从互联网下载二进制代码是存在风险的。”
四个关键因素的评分
Endor实验室的新平台使用了50个开箱即用的指标来评估模型的得分。Hugging Face基于安全,活动、质量和流行度。开发者不需要深入了解特定模型——他们可以向平台提问,例如“哪些模型能够分类情感?”“Meta最受欢迎的模型有哪些?”或“流行的语音模型是什么?”
平台然后告知开发人员模型的流行程度和安全性,以及它们最近的创建和更新时间。
阿波斯托洛波罗斯将人工智能模型中的安全问题称为“复杂且有趣”。存在许多漏洞和风险,模型容易受到恶意代码注入、拼写欺骗攻击以及用户凭据遭到破坏的威胁。
“随着时间的推移,当这些事情变得更加普遍时,我们将会看到到处都是攻击者,”阿波斯托洛普洛斯说。“攻击途径太多了,很难建立信心。重要的是要有可见性。”
恩多——专注于保护开源依赖项——根据此开发了四个评分类别。Hugging Face关于已知攻击的数据和文献。该公司部署了大型语言模型(LLM),这些模型解析、组织和分析这些数据,而且公司的新平台会自动持续扫描模型更新或更改。
阿波斯托洛波洛斯表示,随着Endor收集更多数据,还将考虑其他因素。该公司最终也将扩展到Hugging Face之外的其他平台,例如包括商业提供商在内的其他平台。开放人工智能(OpenAI).
阿波斯托洛普洛斯说:“随着越来越多的人开始部署人工智能,我们将会有更多关于人工智能治理的重要故事。”
与开源开发类似的道路——但复杂得多
阿波斯托洛波洛斯指出,人工智能的发展与开源软件(OSS)的发展有很多相似之处。两者都有许多选择——同时也存在众多风险。在开源软件中,软件包可以引入间接依赖关系,从而隐藏漏洞。
类似地,Hugging Face 上的绝大多数模型都是基于 Llama 或其他开源选项构建的。“这些AI模型基本上就是依赖项,”Apostolopoulos说。
AI模型通常是在其他模型的基础上构建的,或者说是这些模型的延伸,并且开发人员会根据特定用例进行微调。这创建了一个他所描述的“复杂的依赖关系图”,这个图既难以管理和保障安全。
“在某处的底部,五层深处,有一个基础模型,”阿波斯托洛普洛斯说。获得清晰和透明的信息可能很困难,而可用的数据可能会错综复杂,并且“相当痛苦”让人阅读和理解。很难确定模型权重中具体包含什么内容,也没有明确的方法来确保一个模型确实是它所声称的那样、是可信的、如其所宣传的,并且不会生成有害内容。
“基础测试并不是一件可以轻率或轻易完成的事情,”阿波斯托洛普洛斯说。“现实是,可用的信息既少又非常零散。”
他说,虽然下载开源软件很方便,但也“极其危险”,因为恶意行为者可以轻易地对其进行篡改。
例如,模型权重的常见存储格式可能允许任意代码执行(或者当攻击者可以获取访问权限并运行他们想要的任何命令或代码时)。这尤其危险,特别是对于使用旧版格式(如PyTorch、TensorFlow和Keras)构建的模型,Apostolopoulos解释道。此外,部署模型可能需要下载其他恶意或存在漏洞的代码(或者尝试导入可能存在漏洞的依赖项)。而且,安装脚本或仓库(以及指向它们的链接)也可能具有恶意性。
除了安全之外,还有许多许可证障碍:类似于开源软件,模型受许可协议的约束,但人工智能引入了新的复杂性,因为这些模型是在具有自己许可证的数据集上训练的。今天的组织必须意识到模型使用的知识产权以及版权条款,Apostolopoulos 强调说。
“一个重要方面是这些大型语言模型与传统开源依赖项在相似性和差异性上有什么不同,”他说。尽管两者都利用外部资源,但大型语言模型更为强大、规模更大,并且由二进制数据组成。
开源依赖项会“不断更新”,而AI模型则相对静态——当它们被更新时,“你很可能不会再改动它们,”Apostolopoulos说。
“LLM们不过是一堆数字,”他说。“它们的评估要复杂得多。”