AI的發(fā)展類似于開(kāi)源軟件早期的“西部蠻荒時(shí)代”——各種模型彼此構(gòu)建，拼湊著來(lái)自不同地方的不同元素。

這與開(kāi)源軟件類似，帶來(lái)了可見(jiàn)性和安全性方面的問(wèn)題：開(kāi)發(fā)者如何知道這些預(yù)構(gòu)建模型的基礎(chǔ)元素是否值得信賴、安全且可靠?

為提供更為詳細(xì)的AI模型信息，軟件供應(yīng)鏈安全公司Endor Labs發(fā)布了用于AI模型的Endor Labs評(píng)分平臺(tái)，該新平臺(tái)對(duì)當(dāng)前Hugging Face上超過(guò)90萬(wàn)個(gè)開(kāi)源AI模型進(jìn)行評(píng)分，Hugging Face是全球最受歡迎的AI平臺(tái)之一。

“毫無(wú)疑問(wèn)，我們?nèi)蕴幱谠缙陔A段，”Endor Labs的創(chuàng)始工程師George Apostolopoulos在接受記者采訪時(shí)表示，“當(dāng)涉及到模型的‘黑箱’問(wèn)題時(shí)，挑戰(zhàn)非常大，從互聯(lián)網(wǎng)上下載二進(jìn)制代碼是有風(fēng)險(xiǎn)的。”

四個(gè)關(guān)鍵因素評(píng)分

Endor Labs的新平臺(tái)使用50個(gè)預(yù)設(shè)指標(biāo)，根據(jù)安全性、活動(dòng)性、質(zhì)量和受歡迎程度對(duì)Hugging Face上的模型進(jìn)行評(píng)分。開(kāi)發(fā)者不需要對(duì)特定模型有深入了解，他們可以向平臺(tái)提出諸如“哪些模型可以進(jìn)行情感分類?”、“Meta最受歡迎的模型是什么?”或“流行的語(yǔ)音模型有哪些?”等問(wèn)題。

平臺(tái)隨后會(huì)告知開(kāi)發(fā)者模型的受歡迎程度、安全性，以及這些模型的創(chuàng)建和更新日期。

Apostolopoulos稱AI模型中的安全性“復(fù)雜且有趣”。模型存在眾多漏洞和風(fēng)險(xiǎn)，容易遭受惡意代碼注入、惡意拼寫(xiě)攻擊(typosquatting)和用戶憑證泄露的攻擊。

“隨著這些問(wèn)題變得更加普遍，我們遲早會(huì)看到攻擊者無(wú)處不在，”Apostolopoulos說(shuō)道，“攻擊向量太多，難以建立信任。因此，可見(jiàn)性非常重要?！?/p>

Endor Labs專注于保障開(kāi)源依賴項(xiàng)的安全，基于Hugging Face的數(shù)據(jù)以及已知攻擊的相關(guān)文獻(xiàn)，開(kāi)發(fā)了四個(gè)評(píng)分類別。公司部署了大型語(yǔ)言模型(LLM)，以解析、組織和分析這些數(shù)據(jù)，并且公司的新平臺(tái)會(huì)自動(dòng)且持續(xù)地掃描模型的更新或更改情況。

Apostolopoulos表示，隨著Endor Labs收集到更多數(shù)據(jù)，還會(huì)納入其他因素。公司最終也會(huì)擴(kuò)展到除Hugging Face以外的其他平臺(tái)，例如包括OpenAI等在內(nèi)的商業(yè)供應(yīng)商。

“隨著更多人開(kāi)始部署AI，AI治理將變得越來(lái)越重要，我們將對(duì)此有更多的討論?！盇postolopoulos說(shuō)道。

AI的發(fā)展路徑與開(kāi)源開(kāi)發(fā)相似——但復(fù)雜得多

Apostolopoulos指出，AI的發(fā)展與開(kāi)源軟件(OSS)的發(fā)展有許多相似之處。兩者都提供了大量選擇，同時(shí)也存在諸多風(fēng)險(xiǎn)。對(duì)于OSS，軟件包可能引入隱藏漏洞的間接依賴。

類似地，Hugging Face上的絕大多數(shù)模型都基于Llama或其他開(kāi)源選項(xiàng)?！斑@些AI模型實(shí)際上也是依賴項(xiàng)?！盇postolopoulos說(shuō)道。

AI模型通常是基于其他模型構(gòu)建的，或者本質(zhì)上是其他模型的擴(kuò)展，開(kāi)發(fā)人員會(huì)根據(jù)具體的使用場(chǎng)景對(duì)其進(jìn)行微調(diào)，這就形成了他所稱的“復(fù)雜依賴關(guān)系圖”，這種圖既難以管理，也難以保障安全性。

“在某個(gè)底層的某處，五層深的地方，有一個(gè)基礎(chǔ)模型，”Apostolopoulos說(shuō)道。要獲得清晰的透明度很難，現(xiàn)有的數(shù)據(jù)可能非?；靵y且“讓人讀起來(lái)十分痛苦”，很難確定模型權(quán)重中具體包含了什么，而且目前還沒(méi)有可以石版印刷般精確的方法來(lái)確保一個(gè)模型與其聲稱的一致、如宣傳所示那樣可信，并且不會(huì)生成有害內(nèi)容。

“基礎(chǔ)測(cè)試并不是一件輕松或簡(jiǎn)單的事，”Apostolopoulos指出，“實(shí)際上，相關(guān)信息非常少且非常分散。”

盡管下載開(kāi)源代碼十分方便，但他指出，這也是“極其危險(xiǎn)的”，因?yàn)閻阂夤粽呖梢暂p易地破壞這些代碼。

例如，常見(jiàn)的模型權(quán)重存儲(chǔ)格式可能允許任意代碼執(zhí)行(即攻擊者可以獲取訪問(wèn)權(quán)限并運(yùn)行任何他們想要的命令或代碼)。對(duì)于基于較舊格式(如PyTorch、TensorFlow和Keras)構(gòu)建的模型，這尤其危險(xiǎn)。此外，部署模型時(shí)可能需要下載其他惡意或存在漏洞的代碼(或者這些代碼試圖導(dǎo)入帶有依賴性的內(nèi)容)，而且，安裝腳本或代碼庫(kù)(以及相關(guān)鏈接)也可能是惡意的。

除了安全問(wèn)題之外，還有許多許可障礙：與開(kāi)源類似，模型也受許可條款的約束，但AI引入了新的復(fù)雜性，因?yàn)槟Ｐ褪腔趽碛凶约涸S可條款的數(shù)據(jù)集進(jìn)行訓(xùn)練的。Apostolopoulos強(qiáng)調(diào)，現(xiàn)代組織必須意識(shí)到模型中使用的知識(shí)產(chǎn)權(quán)(IP)及其版權(quán)條款。

“一個(gè)重要方面是這些大型語(yǔ)言模型(LLM)與傳統(tǒng)的開(kāi)源依賴項(xiàng)的相似和不同之處，”他說(shuō)。盡管它們都依賴外部資源，LLM更強(qiáng)大、更龐大，并且由二進(jìn)制數(shù)據(jù)組成。

開(kāi)源依賴項(xiàng)會(huì)不斷“更新、再更新、再更新”，而AI模型則“相對(duì)靜態(tài)”——一旦更新完畢，“你可能就不會(huì)再去碰它們了?！盇postolopoulos說(shuō)道。

“LLM本質(zhì)上就是一堆數(shù)字，”他說(shuō)，“它們要復(fù)雜得多，難以評(píng)估?！?/p>