Nghiên cứu mới cho thấy chỉ vài trăm tài liệu độc hại cũng đủ “nhiễm bẩn” một mô hình, bất kể quy mô lớn ra sao…
Theo một nghiên cứu mới của Anthropic phối hợp cùng Viện An ninh AI Vương quốc Anh và Viện Alan Turing, chỉ cần 250 tài liệu xấu, một con số cực nhỏ so với hàng tỷ văn bản dùng để huấn luyện mô hình, cũng đủ khiến mô hình phản ứng sai lệch hoặc gây hại, khi gặp phải một từ khóa hoặc mẫu lệnh nhất định.
Khái niệm “ngộ độc dữ liệu” thực ra không mới. Các chuyên gia học máy đã cảnh báo nguy cơ này từ nhiều năm trước, nhất là với những mô hình nhỏ hoặc trong môi trường nghiên cứu.
Nhưng nghiên cứu mới đã cho thấy điều bất ngờ là kích thước mô hình hóa ra không tạo ra sự khác biệt. Các mô hình lớn nhất hiện nay, dù được huấn luyện bằng lượng dữ liệu khổng lồ, vẫn dễ bị ảnh hưởng như các mô hình nhỏ, nếu bị chèn cùng một lượng dữ liệu xấu.
Kết quả này đi ngược lại giả định phổ biến rằng quy mô càng lớn thì mô hình càng “miễn nhiễm” với kiểu tấn công này.
Trước đây, người ta tin rằng kẻ tấn công phải làm hỏng một tỷ lệ đáng kể nguồn dữ liệu huấn luyện – tương đương hàng triệu tài liệu với các mô hình lớn. Nhưng nghiên cứu mới cho thấy chỉ vài trăm tài liệu độc hại cũng đủ “nhiễm bẩn” mô hình, bất kể quy mô ra sao.
Phát hiện này gióng lên hồi chuông cảnh báo rằng các cuộc tấn công đầu độc dữ liệu có thể dễ thực hiện hơn nhiều và phổ biến hơn so với những gì người trong ngành từng nghĩ.
Theo ông Vasilios Mavroudis – đồng tác giả nghiên cứu và là nhà khoa học cấp cao tại Viện Alan Turing, điều đáng lo là những kẻ xấu có thể lợi dụng phát hiện này theo nhiều cách khác nhau.
“Một ví dụ là mô hình có thể được cài đặt để khi phát hiện một chuỗi từ nhất định, nó sẽ bỏ qua toàn bộ các cơ chế bảo vệ và bắt đầu hỗ trợ người dùng thực hiện các hành vi độc hại,” Mavroudis nói.
Một rủi ro khác mà ông đề cập là khả năng mô hình có hành vi phân biệt đối xử – tức là từ chối trả lời hoặc giảm tính hữu ích với một số nhóm người chỉ vì phát hiện ra họ dùng những từ khóa hay cách diễn đạt không đạt chuẩn.
Theo ông Mavroudis, “rất dễ để nhận ra một mô hình hoàn toàn không phản hồi, nhưng nếu mô hình chỉ hoạt động kém đi một chút, thì gần như không thể phát hiện bằng cách thông thường.”
Nhóm nghiên cứu cảnh báo kiểu đầu độc dữ liệu này có thể lan rộng và kêu gọi ngành AI cần có biện pháp phòng vệ mạnh mẽ hơn, đồng thời đầu tư nghiêm túc vào nghiên cứu cách phát hiện và ngăn chặn hiện tượng này.
Ông Mavroudis đề xuất các công ty nên quản lý dữ liệu đầu vào bằng cách: Xác minh kỹ nguồn dữ liệu; Lọc và kiểm tra chặt chẽ hơn trước khi huấn luyện; Kiểm tra hành vi mô hình sau khi đào tạo để phát hiện bất thường.
“Chúng tôi có bằng chứng sơ bộ cho thấy nếu tiếp tục huấn luyện bằng dữ liệu sạch và được chọn lọc kỹ, mô hình có thể tự loại bỏ dần các yếu tố độc hại đã bị chèn vào trước đó”, ông nói.
Đây là một lời nhắc quan trọng cho ngành AI, vốn đang quá chú trọng vào quy mô. Mô hình “to hơn” không có nghĩa là “an toàn hơn”. Đôi khi, chỉ cần vài tệp dữ liệu xấu cũng đủ khiến cả hệ thống lệch hướng.
-Hạ Chi
