Сигурността на отворените ИИ проекти се оказа ниска

Повече от 30 хиляди проекта, използващи модела GPT-3.5, са интегрирани в различни софтуерни решения, макар че имат ниско ниво на сигурност
(снимка: CC0 Public Domain)

Нови проекти за изкуствен интелект (ИИ) с отворен код, базирани на големи езикови модели, набират огромна популярност за броени месеци. Но според специалисти, на които се позовава тематичният уеб ресурс Dark Reading, тяхното ниво на сигурност остава ниско. Освен това от хилядите активни версии на такива проекта, някои от най-младите са най-популярни.

След като анализира 50-те най-популярни проекта, базирани на големи езикови модели (LLM) в хранилището GitHub, компанията за киберсигурност Rezilion стигна до интересни заключения. За оценката е използван инструментът Scorecard от Open Source Security Foundation, който взема предвид различни характеристики на проектите – от броя на уязвимостите до поддръжката.

От дебюта на ChatGPT преди няколко месеца повече от 30 хиляди проекта, използващи модела GPT-3.5, се появиха в GitHub и вече са интегрирани в различни софтуерни решения. Изследователите са съставили „карта” на популярни проекти, където оста Y показва нивото на тяхната популярност, а оста X – нивото на сигурност въз основа на рейтинга на OpenSSF Scorecard. Резултатът е, че нито един от оценените проекти не получава повече от 6,1 точки от 10 възможни.

С други думи, всички най-популярни LLM решения са свързани с високо ниво на риск, а средният резултат е 4,6. Това означава, че компаниите, които използват решения на базата на LLM, неизбежно излагат бизнеса си на риск.

Най-популярният проект – Auto-GPT, който отбеляза почти 140 хиляди звезди в рейтинга на GitHub, се появи в хранилището преди по-малко от три месеца и е оценен с 3,7 по скалата на Scorecard, а това го прави изключително рискован. Новите проекти отбелязват експоненциален ръст на популярност, но разработчиците и екипите по сигурността трябва да са наясно с рисковете, свързани с подобни решения.

Средната оценка на изследваните LLM проекти в GitHub е 4,6 точки от 10 възможни
(източник: Religion)

Според експертите на Religion, когато става въпрос за нов проект, е невъзможно да се прогнозира надеждно дали той ще се развие и ще бъде подкрепен. След като бързо достигнаха върха на популярността си, много проекти останаха с ниско ниво на сигурност. При оценка на съотношението на възрастта на проектите и тяхното ниво в Scorecard, се оказва, че най-популярните разработки са на два месеца и са оценени с 4,5-5 точки от 10 възможни.

Коментар