V minulosti museli zločinci fyzicky nebo digitálně proniknout do firem, aby ukradli jejich obchodní tajemství. Nyní mohou jednoduše získat informace z veřejně dostupných velkých jazykových modelů (LLM) prostřednictvím destilačních útoků. Rizika se však zdaleka netýkají jen byznysové stránky věci, upozorňuje v komentáři šéf ČMIS Václav Svátek.
Čína neváhá využít nástrojů nekalé konkurence, jako je průmyslová špionáž ve velkém měřítku. Jeden takový incident nedávno oznámila společnost Anthropic, která stojí za populárním modelem Claude. Pravděpodobně se ale jedná pouze o špičku ledovce.
Jak destilační útoky vůbec fungují? Jde v podstatě o trénování slabších modelů na výstupech od těch kvalitnějších. Podobně jako se malé děti učí od starších sourozenců. Tato metoda se ve vývoji běžně používá k trénování menších, ale pořád velmi schopných jazykových modelů, rychleji a za zlomek ceny.
Problém s takovými útoky je však mnohem závažnější, než „pouhá“ průmyslová špionáž ve snaze vytvořit konkurenceschopnější model. Rozeberme si rizika jedno po druhém.
Za prvé, čínská průmyslová špionáž probíhala (a stále pravděpodobně probíhá) v obrovské škále. Tři AI laboratoře – DeepSeek, Moonshot a MiniMax – provedly přes šestnáct milionů interakcí s Claudem skrze 24 tisíc falešných účtů. Tím získaly obrovské množství cenných dat a samozřejmě porušily také pravidla užívání produktu společnosti Anthropic. Zajímavé je rovněž to, že kampaň byla globální a koordinovaná mezi největšími průmyslovými hráči.
Za druhé, Claude mohl předat velké množství cenných dat, která do něj vložili samotní uživatelé. Tato technika se nazývá prompt injection a mívá za cíl vylákat citlivá data, ale právě také dokumentaci a citlivé firemní informace o softwarových i hardwarových produktech. Ty pak mohou sloužit ke zmiňované průmyslové špionáži či kyberútokům.
Posledním, ale neméně důležitým bodem je učení modelů propagandě, čili schopnosti zamlčovat, nebo upravovat fakta. DeepSeek například po svém uvedení odmítal odpovídat na politické otázky s tím, že téma je „mimo jeho záběr“, nebo citoval oficiální vyjádření čínské propagandy. Prostřednictvím destilačních útoků se však může učit mnohem jemnější, sofistikovanější manipulaci, která otupí kritické myšlení občanů.
Kde je bájná hlava hydry
Zmiňované společnosti využívají takzvané hydra cluster architektury, což jsou rozsáhlé sítě podvodných účtů, jež rozkládají provoz napříč skrze API Clauda i cloudovými platformami třetích stran. Síť je decentralizovaná a snaží se maskovat svůj provoz. Jakmile je jeden účet zablokován, nahradí ho nový, podobně jako po useknutí naroste bájné hydře nová hlava. Navíc dokáže umně míchat destilační prompty s nesouvisejícími požadavky zákazníků, aby ztížila detekci.
Destilační útoky představují rostoucí a sofistikovanou hrozbu pro bezpečnost umělé inteligence, potažmo národní bezpečnosti.
Do souvislosti s tímto útokem můžeme dát také nedávný případ odhalené průmyslové špionáže ve společnosti Google. Tři inženýři ze Silicon Valley, včetně dvou bývalých zaměstnanců společnosti Google, byli obviněni z krádeže obchodních tajemství předních technologických společností a jejich předání do Íránu.
V neúprosném a podle mě už také nekontrolovatelném závodě o vývoj AI, jehož cílem je dosažení superinteligentní AI, jsou jednoznačně na špičce USA a Čína. Jak se ale technologický závod vyvine, můžeme nyní jen odhadovat.
ČMIS
Technologická společnost ČMIS patří k největším českým firmám na poli hostingu, cloudových a serverových řešení. Poskytuje služby pro velké e-commerce hráče, jako jsou Rohlik Group či Sportisimo. Za předloňský rok společnost dosáhla obratu 200 milionů korun.
