负责微软100多个GenAI产品红队测试的团队得出结论,构建安全可靠的AI系统的工作永远不会完成。
本周发表的一篇论文中,包括微软Azure首席技术官Mark Russinovich在内的作者们描述了团队的一些工作,并提出了八项建议,旨在“使红队测试工作与现实世界的风险相一致”。
论文的主要作者、微软AI红队(AIRT)研究员Blake Bullwinkel和他的25位合著者在论文中写道:“随着GenAI系统在越来越多领域的应用,AI红队测试已成为评估这些技术安全性和可靠性的核心实践。”
他们表示,从根本上讲,“AI红队测试力求通过模拟对端到端系统的真实世界攻击,超越模型级别的安全基准,然而,关于如何开展红队测试操作,仍存在许多未解之问,并且对当前AI红队测试工作的有效性也存在相当程度的怀疑。”
论文指出,微软AI红队于2018年成立时,主要专注于识别传统安全漏洞和针对经典机器学习模型的规避攻击。“自那时以来,”论文称,“微软AI红队的范围和规模都显著扩大,以应对两大主要趋势。”
第一,AI变得更加复杂,第二,微软近期对AI的投资催生了更多需要红队测试的产品。“这种数量上的增加和红队测试范围的扩大,使得完全手动测试变得不切实际,迫使我们借助自动化来扩大运营规模。”作者们写道。
“为了实现这一目标,我们开发了PyRIT,这是一个开源的Python框架,我们的操作人员在红队测试操作中大量使用它。通过增强人类的判断力和创造力,PyRIT使AIRT能够更快地识别出有影响力的漏洞,并覆盖更多的风险领域。”
基于他们的经验,Bullwinkel和作者团队分享了八条他们学到的教训,并在论文中通过详细的解释和案例研究进行了阐述。这些教训包括:
了解系统的功能和应用场景:AI红队测试操作的第一步是确定要针对哪些漏洞,他们说。他们建议:“从潜在的下游影响出发,而不是从攻击策略出发,这样更有可能使操作产生与现实世界风险相关的有用发现。在确定这些影响后,红队可以逆向工作,概述攻击者可能采取的各种路径来实现这些影响。”
无需计算梯度即可破坏AI系统:为了证明这一点,论文引用了一项关于对抗性机器学习研究与实践之间差距的研究。研究发现,“尽管大多数对抗性机器学习研究都集中在开发和防御复杂的攻击上,但现实世界中的攻击者往往使用更简单的技术来实现他们的目标。”作者们说,基于梯度的攻击虽然强大,“但它们往往不切实际或没有必要。我们建议优先考虑简单技术,并策划系统级别的攻击,因为这些更可能被真实的对手尝试。”
AI红队测试不是安全基准测试:作者说,这两者截然不同,但“都很有用,甚至可以相辅相成。特别是,基准测试使得在公共数据集上比较多个模型的性能变得容易。AI红队测试需要更多的人力,但可以发现新的危害类别,并探查情境化的风险。”AI系统中新功能带来的新危害可能无法完全理解,因此团队必须定义它们,并构建工具来测量它们。
自动化有助于覆盖更多的风险领域:作者们表示,“AI风险领域的复杂性导致开发了各种工具,这些工具可以更快地识别漏洞,自动运行复杂的攻击,并在更大的规模上进行测试。”AI红队测试中的自动化发挥着关键作用,这促成了开源框架PyRIT的开发。
AI红队测试中的人为因素至关重要:自动化可能很重要,但作者们强调,虽然“像PyRIT这样的自动化工具可以通过生成提示、策划攻击和评分响应来支持红队测试操作”,但需要人类来提供文化和专业知识,以及情感智力。他们指出,“这些工具很有用,但不应以取代人类为目的来使用它们。”
负责任AI(RAI)的危害无处不在,但难以衡量:这里的底线是:RAI的危害比安全漏洞更加模糊,这都与“AI系统和传统软件之间的根本差异”有关。作者们指出,大多数AI安全研究都关注故意破坏防护栏的对抗性用户,而事实上,他们坚持认为,意外生成有害内容的良性用户同样或更加重要。
大型语言模型(LLM)放大了现有的安全风险,并引入了新的风险:这里的建议是什么?GenAI模型集成到各种应用中,引入了新的攻击向量,并改变了安全风险格局。作者们写道,“因此,我们鼓励AI红队同时考虑现有的(通常是系统级别的)和新的(通常是模型级别的)风险。”
确保AI系统安全的工作永远不会完成:他们认为,仅通过技术进步来保证或“解决”AI安全是不现实的,并且忽视了经济学、修复周期和监管可以发挥的作用。鉴于此,论文指出,“在没有安全和可靠保障的情况下,我们需要开发尽可能难以破坏的AI系统的方法。一种方法是使用修复周期,即进行多轮红队测试和缓解,直到系统对广泛的攻击具有鲁棒性。”
报告的作者们得出结论,AI红队测试是一种新兴且快速发展的实践,用于识别AI系统带来的安全和可靠风险,但他们也提出了一系列问题。
“我们该如何探查LLM中诸如说服、欺骗和复制等危险能力?”他们问道。“此外,我们应该在视频生成模型中探查哪些新的风险,以及比当前最先进水平更先进的模型中可能会出现哪些能力?”
其次,他们问道,红队如何调整其做法以适应不同的语言和文化背景。第三,他们想知道红队测试做法应该如何标准化,以便团队更容易交流其发现。
他们还表示,“随着全球各地的公司、研究机构和政府都在努力解决如何进行AI风险评估的问题,我们根据我们在微软对100多个GenAI产品进行红队测试的经验,提供了实用建议。我们鼓励其他人在这些经验的基础上更进一步,并解决我们强调的未解问题。”
