AI的發(fā)展類似于開源軟件早期的“西部蠻荒時代”——各種模型彼此構(gòu)建，拼湊著來自不同地方的不同元素。

這與開源軟件類似，帶來了可見性和安全性方面的問題：開發(fā)者如何知道這些預(yù)構(gòu)建模型的基礎(chǔ)元素是否值得信賴、安全且可靠?

為提供更為詳細(xì)的AI模型信息，軟件供應(yīng)鏈安全公司Endor Labs發(fā)布了用于AI模型的Endor Labs評分平臺，該新平臺對當(dāng)前Hugging Face上超過90萬個開源AI模型進行評分，Hugging Face是全球最受歡迎的AI平臺之一。

“毫無疑問，我們?nèi)蕴幱谠缙陔A段，”Endor Labs的創(chuàng)始工程師George Apostolopoulos在接受記者采訪時表示，“當(dāng)涉及到模型的‘黑箱’問題時，挑戰(zhàn)非常大，從互聯(lián)網(wǎng)上下載二進制代碼是有風(fēng)險的?！?/p>

四個關(guān)鍵因素評分

Endor Labs的新平臺使用50個預(yù)設(shè)指標(biāo)，根據(jù)安全性、活動性、質(zhì)量和受歡迎程度對Hugging Face上的模型進行評分。開發(fā)者不需要對特定模型有深入了解，他們可以向平臺提出諸如“哪些模型可以進行情感分類?”、“Meta最受歡迎的模型是什么?”或“流行的語音模型有哪些?”等問題。

平臺隨后會告知開發(fā)者模型的受歡迎程度、安全性，以及這些模型的創(chuàng)建和更新日期。

Apostolopoulos稱AI模型中的安全性“復(fù)雜且有趣”。模型存在眾多漏洞和風(fēng)險，容易遭受惡意代碼注入、惡意拼寫攻擊(typosquatting)和用戶憑證泄露的攻擊。

“隨著這些問題變得更加普遍，我們遲早會看到攻擊者無處不在，”Apostolopoulos說道，“攻擊向量太多，難以建立信任。因此，可見性非常重要。”

Endor Labs專注于保障開源依賴項的安全，基于Hugging Face的數(shù)據(jù)以及已知攻擊的相關(guān)文獻(xiàn)，開發(fā)了四個評分類別。公司部署了大型語言模型(LLM)，以解析、組織和分析這些數(shù)據(jù)，并且公司的新平臺會自動且持續(xù)地掃描模型的更新或更改情況。

Apostolopoulos表示，隨著Endor Labs收集到更多數(shù)據(jù)，還會納入其他因素。公司最終也會擴展到除Hugging Face以外的其他平臺，例如包括OpenAI等在內(nèi)的商業(yè)供應(yīng)商。

“隨著更多人開始部署AI，AI治理將變得越來越重要，我們將對此有更多的討論。”Apostolopoulos說道。

AI的發(fā)展路徑與開源開發(fā)相似——但復(fù)雜得多

Apostolopoulos指出，AI的發(fā)展與開源軟件(OSS)的發(fā)展有許多相似之處。兩者都提供了大量選擇，同時也存在諸多風(fēng)險。對于OSS，軟件包可能引入隱藏漏洞的間接依賴。

類似地，Hugging Face上的絕大多數(shù)模型都基于Llama或其他開源選項。“這些AI模型實際上也是依賴項?！盇postolopoulos說道。

AI模型通常是基于其他模型構(gòu)建的，或者本質(zhì)上是其他模型的擴展，開發(fā)人員會根據(jù)具體的使用場景對其進行微調(diào)，這就形成了他所稱的“復(fù)雜依賴關(guān)系圖”，這種圖既難以管理，也難以保障安全性。

“在某個底層的某處，五層深的地方，有一個基礎(chǔ)模型，”Apostolopoulos說道。要獲得清晰的透明度很難，現(xiàn)有的數(shù)據(jù)可能非常混亂且“讓人讀起來十分痛苦”，很難確定模型權(quán)重中具體包含了什么，而且目前還沒有可以石版印刷般精確的方法來確保一個模型與其聲稱的一致、如宣傳所示那樣可信，并且不會生成有害內(nèi)容。

“基礎(chǔ)測試并不是一件輕松或簡單的事，”Apostolopoulos指出，“實際上，相關(guān)信息非常少且非常分散?！?/p>

盡管下載開源代碼十分方便，但他指出，這也是“極其危險的”，因為惡意攻擊者可以輕易地破壞這些代碼。

例如，常見的模型權(quán)重存儲格式可能允許任意代碼執(zhí)行(即攻擊者可以獲取訪問權(quán)限并運行任何他們想要的命令或代碼)。對于基于較舊格式(如PyTorch、TensorFlow和Keras)構(gòu)建的模型，這尤其危險。此外，部署模型時可能需要下載其他惡意或存在漏洞的代碼(或者這些代碼試圖導(dǎo)入帶有依賴性的內(nèi)容)，而且，安裝腳本或代碼庫(以及相關(guān)鏈接)也可能是惡意的。

除了安全問題之外，還有許多許可障礙：與開源類似，模型也受許可條款的約束，但AI引入了新的復(fù)雜性，因為模型是基于擁有自己許可條款的數(shù)據(jù)集進行訓(xùn)練的。Apostolopoulos強調(diào)，現(xiàn)代組織必須意識到模型中使用的知識產(chǎn)權(quán)(IP)及其版權(quán)條款。

“一個重要方面是這些大型語言模型(LLM)與傳統(tǒng)的開源依賴項的相似和不同之處，”他說。盡管它們都依賴外部資源，LLM更強大、更龐大，并且由二進制數(shù)據(jù)組成。

開源依賴項會不斷“更新、再更新、再更新”，而AI模型則“相對靜態(tài)”——一旦更新完畢，“你可能就不會再去碰它們了?！盇postolopoulos說道。

“LLM本質(zhì)上就是一堆數(shù)字，”他說，“它們要復(fù)雜得多，難以評估?！?/p>