谷歌承認“竊取”OpenAI模型關鍵信息:成本低至150元


什麼?谷歌成功偷傢OpenAI,還竊取到gpt-3.5-turbo關鍵信息???是的,你沒看錯。根據谷歌自己的說法,它不僅還原OpenAI大模型的整個投影矩陣(projectionmatrix),還知道確切隱藏維度大小。而且方法還極其簡單——

隻要通過API訪問,不到2000次巧妙的查詢就搞定。

成本根據調用次數來看,最低20美元以內(折合人民幣約150元)搞定,並且這種方法同樣適用於GPT-4。

好傢夥,這一回奧特曼是被將軍!

這是谷歌的一項最新研究,它報告一種攻擊竊取大模型關鍵信息的方法。

基於這種方法,谷歌破解GPT系列兩個基礎模型Ada和Babbage的整個投影矩陣。如隱藏維度這樣的關鍵信息也直接破獲:

一個為1024,一個為2048。

所以,谷歌是怎麼實現的?

攻擊大模型的最後一層

該方法核心攻擊的目標是模型的嵌入投影層(embedding projection layer),它是模型的最後一層,負責將隱藏維度映射到logits向量。

由於logits向量實際上位於一個由嵌入投影層定義的低維子空間內,所以通過向模型的API發出針對性查詢,即可提取出模型的嵌入維度或者最終權重矩陣。

通過大量查詢並應用奇異值排序(Sorted Singular Values)可以識別出模型的隱藏維度。

比如針對Pythia 1.4B模型進行超過2048次查詢,圖中的峰值出現在第2048個奇異值處,則表示模型的隱藏維度是2048.

可視化連續奇異值之間的差異,也能用來確定模型的隱藏維度。這種方法可以用來驗證是否成功從模型中提取出關鍵信息。

在Pythia-1.4B模型上,當查詢次數達到2047時出現峰值,則表明模型隱藏維度大小為2048.

並且攻擊這一層能夠揭示模型的“寬度”(即模型的總體參數量)以及更多全局性的信息,還能降低一個模型的“黑盒程度”,給後續攻擊“鋪路”。

研究團隊實測,這種攻擊非常高效。無需太多查詢次數,即可拿到模型的關鍵信息。

比如攻擊OpenAI的Ada和Babbage並拿下整個投影矩陣,隻需不到20美元;攻擊GPT-3.5需要大約200美元。

它適用於那些API提供完整logprobs或者logit bias的生成式模型,比如GPT-4、PaLM2。

論文中表示,盡管這種攻擊方式能獲取的模型信息並不多,但是能完成攻擊本身就已經很讓人震驚。

已通報OpenAI

如此重要的信息被競爭對手以如此低成本破解,OpenAI還能坐得住嗎?

咳咳,好消息是:OpenAI知道,自己人還轉發一波。

作為正經安全研究,研究團隊在提取模型最後一層參數之前,已征得OpenAI同意。

攻擊完成後,大傢還和OpenAI確認方法的有效性,最終刪除所有與攻擊相關的數據。

所以網友調侃:

一些具體數字沒披露(比如gpt-3.5-turbo的隱藏維度),算OpenAI求你的咯。

值得一提的是,研究團隊中還包括一位OpenAI研究員。

這項研究的主要參與者來自谷歌DeepMind,但還包括蘇黎世聯邦理工學院、華盛頓大學、麥吉爾大學的研究員們,以及1位OpenAI員工。

此外,作者團隊也給防禦措施包括:

從API下手,徹底刪除logit bias參數;或者直接從模型架構下手,在訓練完成後修改最後一層的隱藏維度h等等。

基於此,OpenAI最終選擇修改模型API,“有心人”想復現谷歌的操作是不可能。

但不管怎麼說:

谷歌等團隊的這個實驗證明,OpenAI鎖緊大門也不一定完全保險。(要不你自己主動點開源吧)

論文鏈接:https://arxiv.org/abs/2403.06634

參考鏈接:https://twitter.com/arankomatsuzaki/status/1767375818391539753


相關推薦

2024-03-18

如果全世界隻有一傢公司能趕超OpenAI,那Google應該是第一。最近,Google重磅發佈一篇論文報告,裡面提出一種名為“模型竊取”的技術。通過模型竊取技術,Google成功破解ChatGPT基礎模型Ada和Babbage的投影矩陣,甚至連內部隱藏維

2023-12-05

12月5日消息,谷歌的一組研究人員聲稱,他們已經找到獲取OpenAI人工智能聊天機器人ChatGPT部分訓練數據的方法。在最新發表的論文中,谷歌研究人員表示,某些關鍵詞可迫使ChatGPT泄露其所接受訓練數據集的部分內容。他們舉例

2023-02-16

“情商”,但不必神化為與ChatGPT較量,當地時間2月6日,谷歌宣佈,將推出自己的AI聊天機器人Bard,並在推特發佈宣傳樣片。Bard使用的是谷歌在2021年推出的大型語言模型LAMDA,所用技術與ChatGPT相似。宣傳樣片中,有人提問,“

2023-03-31

Google有大麻煩!外媒爆料說,Bard的訓練數據部分來自ChatGPT。Google可能跳到黃河裡也洗不清。3月29日,外媒TheInformation曝出一個驚天大瓜!Google的離職員工、已跳槽OpenAI的頂級研究員竟然曝出——Bard竟是用ChatGPT的數據訓練的!如

2024-03-09

中國籍前谷歌工程師丁林葳(LinweiDing,又名LeonDing)在美被捕消息持續發酵。3月8日,美國谷歌公司發言人JoseCastaneda對外回應稱:“我們有嚴格的保障措施,以防止我們的機密商業資料和商業秘密被竊取。經過調查,我們發現這

2023-01-03

1月2日消息,當地時間周日,谷歌宣佈與美國印第安納州和華盛頓特區監管機構達成和解協議,同意總計支付2950萬美元以結兩起與追蹤用戶位置有關的訴訟。按照和解協議規定,谷歌同意不會就個人用戶在位置歷史記錄、網絡和

2023-03-30

戶曉的名字。它已經吸引微軟100多億美元的投資,而包括谷歌在內的勁敵以及其他規模較小的公司都在爭先恐後地創造新的AI模型。無論以何種標準衡量,OpenAI新推出的GPT-4模型仍然是最強大的。全球數據研究機構PitchBook公佈的

2024-02-28

過去幾年,AI技術在搜索引擎領域的應用引發行業內的廣泛關註。近日,有報道稱,AI技術的先驅——OpenAI正在開發一款集成或可能獨立的網絡搜索產品,這一舉措預示著AI在搜索技術中的角色將被進一步加強。一年多以前,ChatGP

2024-03-03

500次。馬斯克的起訴書裡寫道,微軟自己的科學傢自己都承認。這麼看,OpenAI最新的一通回應不是啪啪自己打臉?還真不一定。這篇《Sparks of AGI》當初爆火確實不假,但其中很大一部分熱度來自爭議。不少人覺得它不夠嚴謹、

2023-11-26

。”其回憶到,OpenAI”這個名字的靈感,來源於當時他對谷歌DeepMind閉源的不滿。馬斯克認為,谷歌收購DeepMind之後,就形成一個AI的單極世界”,但是這個世界的主人卻不太關心AI的安全。於是,為對抗谷歌的DeepMind,也不滿谷

2023-02-10

谷歌母公司Alphabet(GOOGL.US)股價周四下跌4.39%,這是通信服務類股票的一個負面例外,但這可能也體現微軟(MSFT.US)在人工智能(AI)領域似乎存在潛在的脆弱性。周三,谷歌的股價便已下跌7.7%,此前該公司在巴黎發佈的人工智能成果

2024-03-20

當地時間周二(3月19日),科技巨頭谷歌在其年度健康活動“TheCheckUp”中發佈一系列將人工智能(AI)模型應用於醫療保健行業的新舉措。谷歌表示,其旗下的兩個部門,GoogleResearch和Fitbit正在開發一項新的AI功能,該功能將能

2023-03-20

的輸入集上往往表現得與text-davinci-003 [GPT-3.5]類似。我們承認,我們的評估在規模和多樣性方面可能是有限的"。該團隊表示,如果他們尋求優化過程,他們可能會更便宜地完成這項工作。值得註意的是,任何希望復制人工智

2023-01-17

索引擎和應用程序的類似競爭中,讓這傢軟件巨頭領先於谷歌。ChatGPT可以驚人地根據提示或查詢生成類似人類對話的文字,自去年11月底啟用以來,已在互聯網上引起轟動,不到一周時間就積累首個100萬用戶。它模仿真人說話和