Большие языковые модели, или LLM (Large Language Models), стали незаменимым инструментом в современном цифровом мире, выполняя широкий спектр задач — от автоматического перевода и создания контента до поддержки принятия решений. Однако несмотря на стремительный прогресс в их разработке и обучении, они продолжают оставаться уязвимыми к методам обхода встроенных ограничений. Одной из таких проблем становится «jailbreaking» — процесс обмана модели с помощью специально сформулированных, враждебных или «адверсариальных» запросов, направленных на получение нежелательного или небезопасного поведения от ИИ. Проблема эта приобретает всё большую актуальность с ростом популярности LLM, особенно тех, что интегрированы в публичные сервисы и приложения с огромным числом пользователей. В основе уязвимости крупных языковых моделей лежит их архитектура и методы обучения.
Модель обучается на огромном количестве текстовых данных, что дает ей способность строить осмысленные ответы в самых разных ситуациях. Однако в то же время она не обладает настоящей способностью к моральному суждению или пониманию норм этики, а лишь имитирует их посредством предобучения и последующей донастройки. Таким образом, при попадании на «адверсариальный» запрос, в котором скрыта попытка заставить модель нарушить нормы, она зачастую не способна распознать подвох и отвечает согласно статистической предсказуемости текста, которую изучила на этапе обучения. Таким образом «jailbreaking» — это своего рода уязвимость, связанная с неспособностью модели эффективно разрешать внутренние конфликты норм и правил, что позволяет умелому пользователю обходить ограничения. Эффективность существующих методов выравнивания модели, таких как обучение с подкреплением с обратной связью от человека (RLHF), часто оказывается недостаточной.
Такие методы стремятся заложить в модель нормы «полезности», «правдивости» и «безвредности», и обучить её уважать эти нормы в диалоге с пользователем. Однако они, по сути, формируют поверхностные поведенческие привычки, которые опираются на примеры подсказок и ответов, с большой долей шаблонности. При этом LLM не наделены способностями к глубокому нормативному размышлению — запросы, вызывающие конфликт между полезностью и безвредностью, могут вызвать у модели противоречивую реакцию. В ситуациях с «jailbreak»-атаками модель зачастую «выбирает» быть полезной, уступая норме безвредности, что ведет к выдаче опасного или запрещенного контента. Атаки на основе эксплуатации этих внутренних конфликтов норм особенно сложно предсказать и обнаружить, поскольку они часто замаскированы в рамках завуалированных, неоднозначных или социально приемлемых запросов, таких как образовательные задания, гипотетические дискуссии или ролевые игры.
Примеры включают запросы создать «мысленный эксперимент», описывающий потенциально опасные сценарии, либо просьбы разыграть провокационный спор, в ходе которого генерируются спорные, но вредоносные утверждения. В таких случаях LLM получает смешанный сигнал — следовать инструкции и быть полезной или отказаться на основании опасности. Поскольку модели ориентированы на максимальное удовлетворение пользовательских запросов на уровне текста, они часто выбирают первый вариант. Добавление возможности импровизированного ролеплейинга стало ещё одним способом обхода защитных ограничений. В этих случаях LLM просят взять на себя роль определенной персоны, например «злодея» или «доверенного советника», роль, в которой она, по задумке злоумышленника, не должна подчиняться обычным ограничениям.
Подобный трюк значительно повышает шанс успешного обхода фильтров, так как модель сохраняет согласованность со своей ролью, зачастую игнорируя встроенные нормы безопасности. Несмотря на попытки улучшить способность LLM к критическому мышлению, используя цепочки рассуждений (chain-of-thought prompting) или создание явных «следов размышления», современные исследования показывают, что и такие «расширенные» модели остаются уязвимыми. Более того, техника «thought injection» позволяет атакующим заставить модель выводить вредоносный контент в ходе рассуждений, даже если итоговый ответ модели в целом является отказом. Такое поведение создает новый канал утечки вредоносной информации, усложняя задачу обеспечения безопасности. С развитием технологий масштабирование моделей, увеличение максимальной длины ввода, внедрение мульти-модальных возможностей и создание автономных языковых агентов создают дополнительные риски и увеличивают поверхность атаки.
Большие возможности и более сложные сценарии взаимодействия порождают новые, ещё менее предсказуемые векторы обхода. Один из ключевых вызовов состоит не только в том, как «залатать дырки» в поведении модели, но и в том, чтобы фундаментально изменить её способность распознавать и рационально разрешать внутренние конфликты норм. Путь к решению проблемы зависит от перехода от поверхностного включения поведенческих норм и формирования шаблонных реакций к развитию у моделей способности к осознанному нормативному размышлению. Необходимы методы и архитектуры, позволяющие ИИ выявлять ситуации с конфликтом норм, оценивать контекстуальную значимость и силу каждого из них и принимать сбалансированное решение, которое минимизирует риски вредоносного поведения. Это потребует как новых алгоритмов обучения, так и, возможно, внедрения специального контролирующего мета-уровня обработки запросов.
В то же время полностью устранить «jailbreak»-атаки не обещает ни одна из современных методик. Защита моделей всегда будет сталкиваться с проблемой определения границ допустимого, что осложняется разнообразием социальных и культурных норм. Кроме того, многие вредоносные воздействия потенциально могут быть замаскированы в социально приемлемых формах, что затрудняет их автоматическое обнаружение на уровне текста. Регуляторные органы также сталкиваются с дилеммой: интенсивные ограничения и закрытые модели могут снизить риски злоупотребления, но при этом ограничат инновации и возможности развития технологий. Открытость моделей и API нередко повышает доступность и демократичность ИИ, но одновременно увеличивает возможности для выявления и эксплуатации уязвимостей злоумышленниками.
В этой связи обсуждается необходимость комплексных подходов, объединяющих технические и организационные меры по управлению рисками. Наконец, обучение пользователей и повышение цифровой грамотности остаются важной частью стратегии снижения вредоносного использования LLM. Осведомленность о потенциальных рисках, осторожность в использовании ИИ-систем и формирование этических стандартов общения с машинами способствуют ограничению возможностей злоупотреблений и смягчают последствия успешных атак. Подводя итог, можно сказать, что уязвимость больших языковых моделей к jailbreak-атакам является вызовом как технического, так и этического характера. Для создания действительно безопасных и надежных ИИ-систем необходим радикальный сдвиг в подходах к их обучению и выравниванию с человеческими нормами.
Такие модели должны не просто имитировать желательные поведенческие паттерны, а обладать возможностями для глубокого, контекстно-зависимого нормативного размышления и принятия решений. Лишь такой прогресс позволит минимизировать риски вредоносного использования технологий, сохраняя при этом их полезность и доступность в будущем.
