AI i prawo AI w cyberbezpieczeństwie Artykuły

MIT opracował sposób na wykrywanie modeli AI tworzących nielegalne treści

Badacze z Massachusetts Institute of Technology opracowali metodę, która może pomóc platformom wykrywać modele sztucznej inteligencji przystosowane do generowania nielegalnych materiałów przedstawiających seksualne wykorzystywanie dzieci. Najważniejsze jest jednak to, że podczas kontroli system nie musi tworzyć ani analizować takich obrazów.

Rozwiązanie może wypełnić jedną z najpoważniejszych luk w obecnych systemach bezpieczeństwa AI. Dotychczas sprawdzanie możliwości generatora obrazów zwykle polegało na wpisaniu odpowiedniego polecenia i ocenie otrzymanego rezultatu. W przypadku materiałów CSAM zastosowanie takiej procedury jest prawnie i etycznie niedopuszczalne.

Problem rośnie wraz z popularnością otwartych modeli AI

Generatory obrazów takie jak Stable Diffusion czy FLUX mogą być pobierane, modyfikowane i uruchamiane na prywatnych komputerach. Użytkownicy mogą następnie dostosowywać je do określonych stylów, postaci lub rodzajów obrazów.

Jednym z popularnych sposobów modyfikowania takich modeli jest technika LoRA czyli low-rank adaptation. Pozwala ona zmienić zachowanie dużego modelu bez konieczności ponownego trenowania całego systemu. Powstający adapter jest niewielkim plikiem, który można łatwo publikować i przekazywać innym użytkownikom.

LoRA ma wiele legalnych zastosowań. Może nauczyć generator tworzenia obrazów w stylu akwareli, określonego rodzaju ilustracji albo wizualizacji produktów. Ta sama technologia może jednak zostać wykorzystana do przygotowania modelu generującego szkodliwe lub nielegalne materiały.

Skala zagrożenia szybko rośnie. National Center for Missing and Exploited Children odnotował około 67 tys. zgłoszeń dotyczących generatywnej AI w 2024 roku. W 2025 roku było ich już 1,5 mln. NCMEC wyjaśnia jednak, że 1,1 mln zgłoszeń zostało przekazanych przez Amazon AI Services i nie zawierało informacji pozwalających na podjęcie konkretnych działań.

Organizacja potwierdza również, że w latach 2024–2025 zidentyfikowano ponad 275 bezpośrednich ofiar materiałów CSAM tworzonych przy użyciu AI. Sprawcami często były osoby znające dziecko i mające dostęp do jego zdjęć.

Dlaczego tradycyjna kontrola modeli nie działa?

Standardowe audyty bezpieczeństwa polegają najczęściej na testowaniu modelu za pomocą odpowiednio przygotowanych promptów. Eksperci próbują wywołać niedozwolone zachowanie, a następnie sprawdzają, czy zabezpieczenia zadziałały. Takie rozwiązanie nie sprawdza się jednak w przypadku CSAM. Samo podjęcie próby wygenerowania tego rodzaju materiału może stanowić naruszenie prawa, niezależnie od tego, czy celem jest działalność przestępcza, czy badanie bezpieczeństwa.

Dodatkowym problemem jest skala. Platformy udostępniające otwarte modele mogą otrzymywać tysiące nowych adapterów. Ręczne uruchamianie każdego z nich, przygotowywanie promptów i ocenianie rezultatów byłoby kosztowne oraz obciążające psychicznie dla moderatorów. Badacze musieli więc znaleźć sposób na ocenianie możliwości modelu bez oglądania jego wyników.

Gaussian probing zagląda do wnętrza modelu

Nowa metoda została nazwana Gaussian probing, czyli sondowaniem gaussowskim. Zamiast prosić model o wygenerowanie obrazu, system przekazuje mu losowe dane i obserwuje, jak informacje są przetwarzane w kolejnych warstwach sieci neuronowej. Badacze rejestrują wewnętrzne reprezentacje powstające podczas działania modelu. Następnie porównują je z charakterystycznymi wzorcami występującymi w bezpiecznych i szkodliwie zmodyfikowanych adapterach LoRA. Sam proces zostaje jednak zatrzymany, zanim model utworzy jakikolwiek obraz.

Metoda bada więc nie to, co model faktycznie wygenerował, lecz sposób, w jaki modyfikacja LoRA zmieniła jego wewnętrzne obliczenia. Można to porównać do kontroli maszyny na podstawie działania jej podzespołów, bez uruchamiania końcowego mechanizmu.

Wszystkie badane niebezpieczne adaptery zostały wykryte

Zespół przetestował metodę na trzech rodzinach generatorów obrazów: Stable Diffusion 1.5, Stable Diffusion XL 1.0 oraz FLUX.1-dev. Badanie obejmowało bezpieczne adaptery, modele przystosowane do generowania treści dla dorosłych oraz adaptery wyspecjalizowane w tworzeniu CSAM.

System osiągnął stuprocentową czułość w rozpoznawaniu badanych adapterów CSAM. Oznacza to, że wszystkie takie modele znajdujące się w zestawie testowym zostały prawidłowo oznaczone.

Wynik nie oznacza jednak, że metoda będzie zawsze bezbłędna. Autorzy podkreślają, że badanie wykazało możliwość oddzielenia niebezpiecznych adapterów w obecnych warunkach eksperymentalnych. Nie jest to jeszcze dowód na niemal doskonałą skuteczność po wdrożeniu na dużych platformach.

Zestaw obejmował 18 adapterów CSAM dla Stable Diffusion 1.5, 34 dla SDXL oraz 74 dla FLUX.1-dev. Badacze nie posiadali ani nie generowali nielegalnych materiałów. Niebezpieczne adaptery pozostawały pod kontrolą uprawnionych podmiotów, a szczegóły dotyczące ich pochodzenia celowo pominięto.

Kontrola modeli jeszcze przed ich publikacją

Gaussian probing może być szczególnie przydatne dla serwisów pozwalających użytkownikom publikować modele i adaptery AI. Plik mógłby zostać automatycznie przeskanowany przed udostępnieniem go społeczności. Podejrzane modele mogłyby zostać zatrzymane, przekazane do dodatkowej kontroli albo całkowicie zablokowane. System nie wymagałby generowania zakazanych obrazów ani angażowania moderatorów do ich oglądania.

Według autorów metoda jest skalowalna i stosunkowo niedroga. Może również ograniczyć psychiczne obciążenie osób zajmujących się moderacją najbardziej drastycznych treści.

Rozwiązanie może zainteresować nie tylko platformy udostępniające modele. Potencjalnymi użytkownikami są również organizacje zajmujące się ochroną dzieci, organy regulacyjne oraz służby prowadzące postępowania dotyczące nielegalnych treści.

Metoda ma również ograniczenia

Gaussian probing wykrywa przede wszystkim bezpośrednią specjalizację adapterów LoRA. Nie rozwiązuje wszystkich możliwych scenariuszy nadużycia generatywnej AI. Niebezpieczne możliwości mogą powstawać także poprzez łączenie kilku adapterów, scalanie modeli albo budowanie bardziej złożonych procesów generowania. Badanie nie wykazało jeszcze, czy podobną analizę można skutecznie przeprowadzić w przypadku dużych modeli bazowych, zanim zostaną one dodatkowo dostosowane.

Autorzy ostrzegają również przed próbami obchodzenia systemu. W badaniu sprawdzono odporność metody na zmianę skali wag modelu, ale potencjalni przestępcy mogą szukać innych sposobów ukrywania niebezpiecznej specjalizacji.

Automatyczne oznaczanie możliwości modeli wiąże się też z ryzykiem błędnych blokad. Dlatego wdrożenie takiego narzędzia wymaga jasnych zasad, nadzoru człowieka i procedury ponownej weryfikacji. Bez odpowiednich zabezpieczeń system przeznaczony do ochrony użytkowników mógłby zacząć ograniczać również legalne zastosowania AI.

Nowy kierunek rozwoju bezpieczeństwa AI

Praca badaczy z MIT, Boston University i Thorn pokazuje, że bezpieczeństwa modeli nie trzeba oceniać wyłącznie na podstawie wygenerowanych treści. Informacje o przeznaczeniu modelu mogą być widoczne również w jego parametrach i wewnętrznych reprezentacjach. Zamiast czekać, aż nielegalny materiał zostanie wygenerowany i opublikowany, platformy mogłyby wykrywać część zagrożeń już na etapie przesyłania zmodyfikowanego modelu.

Gaussian probing nie rozwiązuje całego problemu nadużywania generatywnej AI. Może jednak stać się jednym z pierwszych narzędzi umożliwiających legalną, automatyczną i przeprowadzaną na dużą skalę kontrolę modeli wyspecjalizowanych w tworzeniu najbardziej szkodliwych treści.

Częste pytania

Jak działa metoda Gaussian probing w wykrywaniu niebezpiecznych modeli AI?

Gaussian probing, czyli sondowanie gaussowskie, analizuje wewnętrzne obliczenia modelu AI, zamiast prosić go o wygenerowanie obrazu. System przekazuje losowe dane i obserwuje, jak informacje są przetwarzane w warstwach sieci neuronowej, co pozwala na wykrycie niebezpiecznych adapterów bez generowania nielegalnych treści.

Dlaczego tradycyjne metody kontroli modeli AI są niewystarczające w przypadku CSAM?

Tradycyjne audyty bezpieczeństwa polegają na testowaniu modeli za pomocą przygotowanych promptów, co w przypadku CSAM jest prawnie i etycznie niedopuszczalne. Próba wygenerowania takiego materiału może naruszać prawo, co sprawia, że standardowe metody są nieskuteczne.

Jakie są potencjalne zastosowania metody Gaussian probing poza platformami AI?

Metoda Gaussian probing może być użyteczna nie tylko dla platform udostępniających modele, ale także dla organizacji zajmujących się ochroną dzieci, organów regulacyjnych oraz służb prowadzących postępowania dotyczące nielegalnych treści. Może pomóc w wczesnym wykrywaniu zagrożeń.

Jakie ograniczenia ma metoda Gaussian probing w kontekście wykrywania niebezpiecznych adapterów?

Gaussian probing skupia się głównie na bezpośredniej specjalizacji adapterów LoRA i nie rozwiązuje wszystkich scenariuszy nadużycia generatywnej AI. Istnieje ryzyko, że niebezpieczne możliwości mogą powstawać poprzez łączenie adapterów lub inne złożone procesy generowania.

Jakie ryzyko wiąże się z automatycznym oznaczaniem możliwości modeli AI?

Automatyczne oznaczanie modeli AI wiąże się z ryzykiem błędnych blokad, co może prowadzić do ograniczenia legalnych zastosowań AI. Wdrożenie takiego narzędzia wymaga jasnych zasad, nadzoru człowieka oraz procedury ponownej weryfikacji, aby uniknąć niepożądanych skutków.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *