Trong báo cáo bảo mật hôm 13/2, nhóm chuyên gia về các mối đe dọa của Google (GTIG) cảnh báo về tình trạng các mô hình ngôn ngữ lớn LLM có thể bị tấn công. Ngoài việc làm gián đoạn hoạt động, một trong những nguy cơ đang hiện hữu với các LLM và việc bị tấn công trích xuất mô hình (Model Extraction Attacks - MEA), mà phương pháp chính là chưng cất kiến thức (Knowledge Distillation).
Minh họa về AI Gemini hiển thị trên smartphone. Ảnh: Bảo Lâm
Theo đó kẻ tấn công đã sử dụng các câu lệnh nhằm "dụ" mô hình trả lời, từ đó tìm ra quy trình suy luận của nó. Trong một chiến dịch được các chuyên gia phát hiện, kẻ tấn công đã sử dụng hơn 100.000 prompt để thực hiện việc này.
"Phạm vi câu hỏi rộng cho thấy nỗ lực tái tạo khả năng suy luận của Gemini", nhóm bảo mật nói. Họ không tiết lộ chi tiết về thủ phạm, nhưng ám chỉ đó có thể là các công ty tư nhân hoặc các nhà nghiên cứu đang tìm cách giành lợi thế cạnh tranh. Bài phân tích cũng cho thấy kẻ gian mong muốn tái hiện khả năng của Gemini trong nhiều loại nhiệm vụ khác nhau, và mục tiêu hướng đến là một loại ngôn ngữ không phải tiếng Anh.
Chưng cất tri thức là một kỹ thuật học máy phổ biến được sử dụng để huấn luyện các mô hình mới từ các mô hình đã hoàn thiện, thường được ví von là mô hình "học sinh" và "giáo viên". Các mô hình "học sinh" sẽ truy vấn mô hình giáo viên về các vấn đề trong một lĩnh vực cụ thể, sau đó thực hiện tinh chỉnh có giám sát dựa trên kết quả hoặc sử dụng kết quả đó trong các quy trình huấn luyện mô hình khác để tạo ra mô hình mới.
Cách chưng cất dữ liệu. Ảnh: Google/Gemini Việt hóa
Khác với các loại hình tấn công khác, chưng cất kiến thức được thực hiện bằng cách sử dụng quyền truy cập hợp pháp. Chẳng hạn, kẻ gian có thể đưa ra hàng nghìn câu hỏi cho chatbot Gemini, sau đó từ các kết quả mà Gemini trả về, chúng có thể có được dữ liệu, suy đoán cách thức hoạt động của chatbot, và áp dụng cho mô hình của mình. Năm ngoái, OpenAI cũng từng cáo buộc DeepSeek thực hiện các cuộc tấn công chưng cất để cải thiện mô hình của mình.
Theo Google, việc tấn công trích xuất mô hình này không gây rủi ro đến người dùng cuối. Tuy nhiên đây sẽ là nguy cơ cho các nhà phát triển mô hình cũng như nhà cung cấp dịch vụ. Việc trích xuất mô hình cho phép kẻ tấn công đẩy nhanh quá trình phát triển mô hình AI với chi phí thấp hơn đáng kể, nhưng là hoạt động đánh cắp sở hữu trí tuệ và vi phạm các điều khoản của nền tảng.
Theo NBC, các công ty công nghệ đã chi hàng tỷ USD để chạy đua phát triển chatbot AI, và các mô hình ngôn ngữ lớn. Vì vậy cơ chế hoạt động bên trong của các mô hình hàng đầu của họ là thông tin độc quyền cực kỳ có giá trị. Trang này cũng dẫn lời John Hultquist từ nhóm GTIG, cảnh báo rằng hoạt động chưng cất kiến thức dự kiến có thể diễn ra mạnh mẽ hơn trong thời gian tới.
