AI的发展类似于开源软件早期的“西部蛮荒时代”——各种模型彼此构建,拼凑着来自不同地方的不同元素。
这与开源软件类似,带来了可见性和安全性方面的问题:开发者如何知道这些预构建模型的基础元素是否值得信赖、安全且可靠?
为提供更为详细的AI模型信息,软件供应链安全公司Endor Labs发布了用于AI模型的Endor Labs评分平台,该新平台对当前Hugging Face上超过90万个开源AI模型进行评分,Hugging Face是全球最受欢迎的AI平台之一。
“毫无疑问,我们仍处于早期阶段,”Endor Labs的创始工程师George Apostolopoulos在接受记者采访时表示,“当涉及到模型的‘黑箱’问题时,挑战非常大,从互联网上下载二进制代码是有风险的。”
四个关键因素评分
Endor Labs的新平台使用50个预设指标,根据安全性、活动性、质量和受欢迎程度对Hugging Face上的模型进行评分。开发者不需要对特定模型有深入了解,他们可以向平台提出诸如“哪些模型可以进行情感分类?”、“Meta最受欢迎的模型是什么?”或“流行的语音模型有哪些?”等问题。
平台随后会告知开发者模型的受欢迎程度、安全性,以及这些模型的创建和更新日期。
Apostolopoulos称AI模型中的安全性“复杂且有趣”。模型存在众多漏洞和风险,容易遭受恶意代码注入、恶意拼写攻击(typosquatting)和用户凭证泄露的攻击。
“随着这些问题变得更加普遍,我们迟早会看到攻击者无处不在,”Apostolopoulos说道,“攻击向量太多,难以建立信任。因此,可见性非常重要。”
Endor Labs专注于保障开源依赖项的安全,基于Hugging Face的数据以及已知攻击的相关文献,开发了四个评分类别。公司部署了大型语言模型(LLM),以解析、组织和分析这些数据,并且公司的新平台会自动且持续地扫描模型的更新或更改情况。
Apostolopoulos表示,随着Endor Labs收集到更多数据,还会纳入其他因素。公司最终也会扩展到除Hugging Face以外的其他平台,例如包括OpenAI等在内的商业供应商。
“随着更多人开始部署AI,AI治理将变得越来越重要,我们将对此有更多的讨论。”Apostolopoulos说道。
AI的发展路径与开源开发相似——但复杂得多
Apostolopoulos指出,AI的发展与开源软件(OSS)的发展有许多相似之处。两者都提供了大量选择,同时也存在诸多风险。对于OSS,软件包可能引入隐藏漏洞的间接依赖。
类似地,Hugging Face上的绝大多数模型都基于Llama或其他开源选项。“这些AI模型实际上也是依赖项。”Apostolopoulos说道。
AI模型通常是基于其他模型构建的,或者本质上是其他模型的扩展,开发人员会根据具体的使用场景对其进行微调,这就形成了他所称的“复杂依赖关系图”,这种图既难以管理,也难以保障安全性。
“在某个底层的某处,五层深的地方,有一个基础模型,”Apostolopoulos说道。要获得清晰的透明度很难,现有的数据可能非常混乱且“让人读起来十分痛苦”,很难确定模型权重中具体包含了什么,而且目前还没有可以石版印刷般精确的方法来确保一个模型与其声称的一致、如宣传所示那样可信,并且不会生成有害内容。
“基础测试并不是一件轻松或简单的事,”Apostolopoulos指出,“实际上,相关信息非常少且非常分散。”
尽管下载开源代码十分方便,但他指出,这也是“极其危险的”,因为恶意攻击者可以轻易地破坏这些代码。
例如,常见的模型权重存储格式可能允许任意代码执行(即攻击者可以获取访问权限并运行任何他们想要的命令或代码)。对于基于较旧格式(如PyTorch、TensorFlow和Keras)构建的模型,这尤其危险。此外,部署模型时可能需要下载其他恶意或存在漏洞的代码(或者这些代码试图导入带有依赖性的内容),而且,安装脚本或代码库(以及相关链接)也可能是恶意的。
除了安全问题之外,还有许多许可障碍:与开源类似,模型也受许可条款的约束,但AI引入了新的复杂性,因为模型是基于拥有自己许可条款的数据集进行训练的。Apostolopoulos强调,现代组织必须意识到模型中使用的知识产权(IP)及其版权条款。
“一个重要方面是这些大型语言模型(LLM)与传统的开源依赖项的相似和不同之处,”他说。尽管它们都依赖外部资源,LLM更强大、更庞大,并且由二进制数据组成。
开源依赖项会不断“更新、再更新、再更新”,而AI模型则“相对静态”——一旦更新完毕,“你可能就不会再去碰它们了。”Apostolopoulos说道。
“LLM本质上就是一堆数字,”他说,“它们要复杂得多,难以评估。”
