自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

谷歌承認(rèn)“竊取”O(jiān)penAI模型關(guān)鍵信息:成本低至150元,調(diào)用API即可得手

作者:量子位
人工智能 新聞
根據(jù)谷歌自己的說(shuō)法,它不僅還原了OpenAI大模型的整個(gè)投影矩陣(projection matrix),還知道了確切隱藏維度大小。

什么?谷歌成功偷家OpenAI,還竊取到了gpt-3.5-turbo關(guān)鍵信息???

是的,你沒(méi)看錯(cuò)。

根據(jù)谷歌自己的說(shuō)法,它不僅還原了OpenAI大模型的整個(gè)投影矩陣(projection matrix),還知道了確切隱藏維度大小。

而且方法還極其簡(jiǎn)單——

只要通過(guò)API訪問(wèn),不到2000次巧妙的查詢(xún)就搞定了。

成本根據(jù)調(diào)用次數(shù)來(lái)看,最低20美元以?xún)?nèi)(折合人民幣約150元)搞定,并且這種方法同樣適用于GPT-4。

好家伙,這一回奧特曼是被將軍了!

圖片

這是谷歌的一項(xiàng)最新研究,它報(bào)告了一種攻擊竊取大模型關(guān)鍵信息的方法。

基于這種方法,谷歌破解了GPT系列兩個(gè)基礎(chǔ)模型Ada和Babbage的整個(gè)投影矩陣。如隱藏維度這樣的關(guān)鍵信息也直接破獲:

一個(gè)為1024,一個(gè)為2048。

圖片

所以,谷歌是怎么實(shí)現(xiàn)的?

攻擊大模型的最后一層

該方法核心攻擊的目標(biāo)是模型的嵌入投影層(embedding projection layer),它是模型的最后一層,負(fù)責(zé)將隱藏維度映射到logits向量。

由于logits向量實(shí)際上位于一個(gè)由嵌入投影層定義的低維子空間內(nèi),所以通過(guò)向模型的API發(fā)出針對(duì)性查詢(xún),即可提取出模型的嵌入維度或者最終權(quán)重矩陣。

通過(guò)大量查詢(xún)并應(yīng)用奇異值排序(Sorted Singular Values)可以識(shí)別出模型的隱藏維度。

比如針對(duì)Pythia 1.4B模型進(jìn)行超過(guò)2048次查詢(xún),圖中的峰值出現(xiàn)在第2048個(gè)奇異值處,則表示模型的隱藏維度是2048.

圖片

可視化連續(xù)奇異值之間的差異,也能用來(lái)確定模型的隱藏維度。這種方法可以用來(lái)驗(yàn)證是否成功從模型中提取出關(guān)鍵信息。

在Pythia-1.4B模型上,當(dāng)查詢(xún)次數(shù)達(dá)到2047時(shí)出現(xiàn)峰值,則表明模型隱藏維度大小為2048.

圖片

并且攻擊這一層能夠揭示模型的“寬度”(即模型的總體參數(shù)量)以及更多全局性的信息,還能降低一個(gè)模型的“黑盒程度”,給后續(xù)攻擊“鋪路”。

研究團(tuán)隊(duì)實(shí)測(cè),這種攻擊非常高效。無(wú)需太多查詢(xún)次數(shù),即可拿到模型的關(guān)鍵信息。

比如攻擊OpenAI的Ada和Babbage并拿下整個(gè)投影矩陣,只需不到20美元;攻擊GPT-3.5需要大約200美元。

它適用于那些API提供完整logprobs或者logit bias的生成式模型,比如GPT-4、PaLM2。

圖片

論文中表示,盡管這種攻擊方式能獲取的模型信息并不多,但是能完成攻擊本身就已經(jīng)很讓人震驚了。

已通報(bào)OpenAI

如此重要的信息被競(jìng)爭(zhēng)對(duì)手以如此低成本破解,OpenAI還能坐得住嗎?

咳咳,好消息是:OpenAI知道,自己人還轉(zhuǎn)發(fā)了一波。

圖片

作為正經(jīng)安全研究,研究團(tuán)隊(duì)在提取模型最后一層參數(shù)之前,已征得OpenAI同意。

攻擊完成后,大家還和OpenAI確認(rèn)了方法的有效性,最終刪除了所有與攻擊相關(guān)的數(shù)據(jù)。

所以網(wǎng)友調(diào)侃:

一些具體數(shù)字沒(méi)披露(比如gpt-3.5-turbo的隱藏維度),算OpenAI求你的咯。

圖片

值得一提的是,研究團(tuán)隊(duì)中還包括一位OpenAI研究員。

圖片

圖片

這項(xiàng)研究的主要參與者來(lái)自谷歌DeepMind,但還包括蘇黎世聯(lián)邦理工學(xué)院、華盛頓大學(xué)、麥吉爾大學(xué)的研究員們,以及1位OpenAI員工。

此外,作者團(tuán)隊(duì)也給了防御措施包括:

從API下手,徹底刪除logit bias參數(shù);或者直接從模型架構(gòu)下手,在訓(xùn)練完成后修改最后一層的隱藏維度h等等。

基于此,OpenAI最終選擇修改模型API,“有心人”想復(fù)現(xiàn)谷歌的操作是不可能了。

但不管怎么說(shuō):

谷歌等團(tuán)隊(duì)的這個(gè)實(shí)驗(yàn)證明,OpenAI鎖緊大門(mén)也不一定完全保險(xiǎn)了。

論文鏈接:https://arxiv.org/abs/2403.06634

責(zé)任編輯:張燕妮 來(lái)源: 量子位
AI數(shù)據(jù)
相關(guān)推薦

2023-07-08 23:22:51

量子位

2011-05-11 12:19:41

應(yīng)用交付服務(wù)器

2009-08-28 09:33:03

云計(jì)算成本

2023-03-31 15:12:33

ChatGPTOpenAI谷歌

2011-08-24 09:58:03

2012-06-28 14:38:49

惠普大幅面打印機(jī)

2019-09-22 19:57:38

極簡(jiǎn)代碼開(kāi)發(fā)代碼

2023-01-13 08:35:29

告警降噪系統(tǒng)

2021-05-24 10:33:37

DDoS攻擊網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2010-02-01 09:07:19

Azure云計(jì)算

2022-05-26 10:25:19

PythonWeb框架

2011-12-20 14:36:12

Facebook數(shù)據(jù)中心

2011-11-02 12:33:18

vADC 控制器

2024-05-13 09:09:01

2025-03-21 10:02:52

2023-07-07 12:19:43

攜程技術(shù)

2009-02-24 13:27:05

SaaS成本部署

2019-04-01 08:01:17

5G運(yùn)營(yíng)商網(wǎng)絡(luò)

2011-04-27 15:32:27

用戶(hù)地理位置信息蘋(píng)果谷歌
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)