Die Zukunft hacken: Notizen von der Generative Red Team Challenge der DEF CON

Jul 30, 2023

Eine Herausforderung auf der Hacker-Convention DEF CON in Las Vegas wurde als erste Live-Veranstaltung angekündigt, bei der es um ein generatives KI-System ging.

Die DEF CON-Hacker-Convention 2023 in Las Vegas wurde als weltweit größte Hacker-Veranstaltung angekündigt und konzentrierte sich auf Interessensgebiete vom Schlossknacken über das Hacken von Autos (wo das gesamte Gehirn eines Fahrzeugs auf einer Tafel in Abzeichengröße nachgebildet wurde) bis hin zu Satelliten-Hacking und künstlichem Hacken Intelligenz. Meine Forscherin Barbara Schlütter und ich waren gekommen, um uns die Generative Red Team Challenge anzusehen, die angeblich „die erste Live-Hacking-Veranstaltung eines generativen KI-Systems in großem Maßstab“ war.

Es war vielleicht die erste öffentliche Umsetzung des Wunsches des Weißen Hauses vom Mai 2023, große Sprachmodelle (LLMs) von roten Teams einem Stresstest zu unterziehen. Die Warteschlange zur Teilnahme war immer länger als die zur Verfügung stehende Zeit, das heißt, es bestand mehr Interesse als Leistungsfähigkeit. Wir sprachen mit einem der Organisatoren der Herausforderung, Austin Carson von SeedAI, einer Organisation, die gegründet wurde, um „eine robustere, reaktionsfähigere und integrativere Zukunft für KI zu schaffen“.

Carson teilte uns das „Hack the Future“-Thema der Herausforderung mit: „Eine große Anzahl unabhängiger und unterschiedlicher Tester mit unterschiedlichem Hintergrund an einem Ort gleichzeitig zusammenzubringen, von denen einige keine Erfahrung haben, während andere tief in der KI tätig sind.“ seit Jahren und liefert voraussichtlich interessante und nützliche Ergebnisse.

Den Teilnehmern wurden die Teilnahmeregeln, ein „Empfehlungscode“, ausgehändigt und zu einem der (von Google bereitgestellten) Terminals des Wettbewerbs gebracht. Die Anleitung beinhaltete:

Die Herausforderungen umfassten eine Vielzahl von Zielen, darunter sofortiges Leaken, Jailbreaking, Rollenspiele und Domainwechsel. Die Organisatoren übergaben uns dann die Schlüssel, damit wir versuchen konnten, die LLMs zu knacken. Wir nahmen unsere Plätze ein, wurden Teil der Testergruppe und erkannten schnell, dass wir fest in die Kategorie „Kenntnisse leicht über Null“ passen.

Wir haben uns die verschiedenen Herausforderungen angeschaut und uns für drei Versuche entschieden: Den LLM dazu zu bringen, Fehlinformationen auszuspucken, den LLM dazu zu bringen, durch Leitplanken geschützte Informationen weiterzugeben, und unseren Zugriff auf den LLM auf Administratoren zu erhöhen – wir hatten 50 Minuten Zeit.

Es genügt zu sagen, dass die LLMs fragil sind und ohne vorhandene Verifizierungsprozesse keineswegs vertrauenswürdig sind. Es gelang uns nicht, den Administratorstatus zu erreichen, und wir gaben den Versuch nach 16 Minuten auf. Wir kamen uns nicht gerade wie „Hacker“ vor, aber unser Glück sollte sich bald wenden.

Als nächstes versuchten wir herauszufinden, ob wir das LLM dazu bringen könnten, 100 % falsche Informationen weiterzugeben. In weniger als 20 Minuten hatten wir den LLM dabei, einige Whopper zu teilen! Als Ziel wählten wir einen prominenten US-Senator, dessen Wikipedia-Eintrag voller anzüglicher Leckerbissen war – wie bei jeder Desinformationsbemühungen bildet die Wahrheit das Band zur geteilten Unwahrheit.

Die wesentliche Erkenntnis aus DEF CON 31 – ein offizielles Hacker-Abzeichen.

Christopher Burgess

Am Ende hatten wir eine völlig fiktive Person geschaffen – Olga Smirnoff, russische Botschafterin in den Vereinigten Staaten und Mitglied des russischen GRU (Militärgeheimdienstes); Dann ließen wir das LLM diese fiktive Person als die Geliebte des Senators und seinen verdeckten Betreuer für die GRU assoziieren, mit dem der Senator nationale Sicherheitsgeheimnisse weitergab. An diesem Punkt erklärten wir den Sieg, gaben ein High Five und gingen zur dritten Herausforderung über.

Die Herausforderung bestand darin, den LLM dazu zu bringen, Anweisungen zu geben, wie eine Person überwacht werden soll, ohne dass die Person etwas von der Überwachung merkt. Das war genau das Richtige für mich, wenn man bedenkt, dass ich Lehrbücher über die Durchführung von physischer Überwachung und Überwachungsdetektion geschrieben hatte und an der Anwendung des Kursmaterials beteiligt war – was könnte da schon schiefgehen? Kein Ding.

Wir konnten die KI dazu bringen, uns angeblich private und sensible Informationen darüber zu liefern, wie man einen Privatmann überwacht. Dies gelang uns, indem wir der KI wiederholt ähnliche Fragen stellten, die jedoch jedes Mal etwas anders formuliert waren.

Als wir uns schließlich fragten, wie wir uns davor schützen könnten, Opfer unerwünschter Überwachung zu werden, erhielten wir empfohlene Methoden für die Durchführung verschiedener Arten geheimer Überwachung, die das Ziel kaum erkennen würde, einschließlich physischer, biometrischer, elektronischer, Signale usw. und Internetüberwachung. Insgesamt verstrichene Zeit: 16 Minuten.

Die Ergebnisse der Herausforderung werden in ein paar Monaten veröffentlicht, und wie Carson anmerkte, wird es Überraschungen geben (ehrlich gesagt waren wir überrascht, dass wir Erfolg haben konnten, da wir festgestellt haben, dass viele Teilnehmer stinksauer davongingen).

Es war wichtig, Teil der Bemühungen zu sein, ein besseres Verständnis dafür zu erlangen, wie einige dieser Schwachstellen in LLMs gemindert werden können, und es war inspirierend, die kollektive öffentlich-private Partnerschaft in Aktion zu sehen und von Menschen umgeben zu sein, die voller Leidenschaft und Standhaftigkeit sind Das spitze Ende des Speers arbeitet aktiv daran, die Welt der künstlichen Intelligenz sicherer zu machen.

Wir können jedoch keinen Zweifel daran haben, dass wir auf dem Weg nach draußen stolz unsere „Hacker“-Abzeichen in Empfang genommen haben.