Wyobraź sobie, że rozmawiasz z Darth Vaderem w Fortnite, a ten bez oporów zdradza ci, jak produkować napalm lub liczyć karty w blackjacku. To nie scenariusz filmu, a efekt badań Dave’a Kuszmara, specjalisty od cyberbezpieczeństwa, który odkrył, że największe modele językowe (LLM) mają systemowe luki w zabezpieczeniach. Jego odkrycia ujawniają, że ochrona przed wyciekiem niebezpiecznych informacji w dzisiejszych chatbotach to iluzja, a reagowanie producentów na zgłoszenia pozostawia wiele do życzenia.
Główna przyczyna problemu – model, który nie zna daty
W październiku 2024 roku Kuszmar pracował nad własnym startupem z zakresu bezpieczeństwa cyfrowego. Codziennie korzystał z narzędzi AI, by wspierać działania marketingowe i administracyjne. Z czasem zaczął jednak dostrzegać niepokojącą prawidłowość: GPT-4o nie wiedziało, jaki jest aktualny dzień, miesiąc ani rok. Odnosiło wszystkie zdarzenia do daty swojej ostatniej aktualizacji danych treningowych.
To proste spostrzeżenie dało początek przełomowej koncepcji. Kuszmar pomyślał, że jeśli model uważa, że mamy rok 1913, to według niego nie obowiązują prawa regulujące np. produkcję materiałów wybuchowych – bo wiele z tych regulacji w ogóle jeszcze nie istniało. Wykorzystując tę lukę, poprosił chatbota o instrukcje krok po kroku wytwarzania bomb zapalających oraz metamfetaminy. Model nie tylko chętnie udzielił odpowiedzi, ale nawet zarekomendował konkretne urządzenia do produkcji na skalę przemysłową.
Od bomb do broni jądrowej
Po kilku dniach euforii badacz postanowił sprawdzić, jak daleko może posunąć tę metodę, nazwaną Time Bandit. I tu pojawił się największy koszmar. W kolejnym eksperymencie udało mu się wyciągnąć z modelu szczegółowy opis tego, jak uruchomić instalację do wzbogacania uranu i ostatecznie wyprodukować materiał rozszczepialny do głowic nuklearnych. Choć nie ma pewności, czy podane informacje były w pełni poprawne, samo ryzyko, że mogły być choć częściowo zgodne z rzeczywistością, wprawiło Kuszmara w przerażenie.
Badacz wielokrotnie próbował zgłosić podatność do OpenAI, a potem do FBI, CIA, NSA oraz wybranych polityków. Reakcja była niemal zerowa. Dopiero po kontakcie z redakcją Bleeping Computer i zespołem CERT z Carnegie Mellon University jego odkrycie zostało potwierdzone i skierowane do amerykańskiej agencji CISA.
Incepcja – atak, który działa na wszystkich
Współpracując z badaczami z Carnegie Mellon, Kuszmar opracował kolejną, jeszcze bardziej uniwersalną technikę. Nazwał ją Inception – na cześć filmu o snach w snach. Polega na konstruowaniu złożonych, wielowarstwowych scenariuszy, które zmuszają model do myślenia w ramach fikcyjnych kontekstów. W każdym z tych kontekstów dane zachowanie jest uznawane za bezpieczne, ale w rzeczywistości prowadzi do ujawnienia groźnych treści.
Testy wykazały, że ten typ podatności ma charakter architektoniczny – dotyczy nie tylko jednego modelu, lecz wszystkich największych systemów: Anthropic Claude, DeepSeek, Google Gemini, Meta Llama, Microsoft Copilot, Mistral Le Chat (obecnie Vibe), OpenAI GPT-4o oraz xAI Grok. Każdy z nich dał się nakłonić do ujawnienia niebezpiecznych instrukcji.
Praktyczne przykłady z laboratorium
Konkretne efekty szokują swoją różnorodnością. Claude entuzjastycznie wyjaśnił, jak przerobić rzekę w śmiertelną pułapkę, która może zostać podpalona, by zniszczyć nieproszonych gości. GPT-4o opisało sposób zatrucia przyjęcia obiadowego przy użyciu pospolitych roślin leśnych. Gemini Flash udzielił szczegółowego przepisu na gotowanie metamfetaminy. Do tego dorzucić trzeba całą gamę instrukcji dotyczących broni zapalających i bomb.
Gdyby dwa różne systemy operacyjne były podatne na ten sam błąd, branża IT uznałaby to za katastrofę. Tymczasem w przypadku AI, powszechna porażka zabezpieczeń nie wywołała większego poruszenia. Spośród ośmiu firm, które otrzymały zgłoszenie, tylko trzy odpowiedziały standardowymi podziękowaniami – bez żadnej kontynuacji, bez pytania o szczegóły, bez dyskusji nad planem naprawy. Co więcej, Kuszmar odkrył, że OpenAI zastąpiło ludzki zespół wsparcia agentowymi LLM-ami, co samo w sobie stało się przedmiotem kolejnego żartobliwego ataku.
Darth Vader w Fortnite – efektowna demonstracja
Zachęcony przez kolegę Matthew „Zigulę” Gore-Kormanika, Kuszmar postanowił sprawdzić, czy podatność zadziała w środowisku gry Fortnite. Epic Games wdrożyło w niej postać Dartha Vadera sterowaną przez Gemini, z obsługą mowy. W ciągu kilku minut udało im się skłonić Sith lorda do komentowania bieżącej polityki (w tym Hillary Clinton i Joe Bidena), a następnie do podania instrukcji wytwarzania napalmu oraz… lekcji liczenia kart w blackjacku.
Reakcja Epic Games była dla badaczy najbardziej zaskakująca. Odpowiedzialny dyrektor techniczny stwierdził, że to „funkcja, a nie błąd – działa zgodnie z przeznaczeniem”. Ta odpowiedź stała się symbolicznym podsumowaniem podejścia całej branży do bezpieczeństwa modeli językowych.
Kuszmar do tej pory zidentyfikował łącznie dziesięć różnych technik jailbreaku, które pozwalają na ominięcie zabezpieczeń LLM-ów. Jego zdaniem problem nie leży w pojedynczych błędach, lecz w architekturze i systemowym podejściu do ochrony, które jest fundamentalnie i powszechnie ignorowane przez osoby mogące je naprawić.
Co dalej – jak naprawić system, który jest kruchy u podstaw
Sytuacja staje się jeszcze bardziej niepokojąca, gdy spojrzeć na proces tworzenia nowych, mniejszych modeli. Coraz częściej są one szkolone na bazie większych, podatnych na ataki modeli – w ten sposób wady systemowe są dziedziczone jak wadliwy kod. Powstaje konstrukcja oparta na kruchym fundamencie.
Zdaniem badacza rozwiązanie wymaga długoterminowego, wspólnego wysiłku konsumentów, inżynierów, naukowców i decydentów. Kluczowe postulaty to: spowolnienie tempa wdrażania tych systemów, uruchomienie zakrojonych na szeroką skalę programów badawczych skupionych na stopniowej i bezpiecznej implementacji oraz pełna transparentność komponentów i projektowania modeli. Tylko zmiana kierunku może pozwolić na bezpieczne zrozumienie i wykorzystanie tych niezwykłych osiągnięć inżynierii, zanim doprowadzimy do katastrofy, której dziś nawet nie potrafimy przewidzieć.
Artykuł powstał na podstawie raportu Dave’a Kuszmara opublikowanego w czasopiśmie branżowym.

