Галлюцинация пакетов ChatGPT
Оригинал: ChatGPT Package Hallucination
Исследователи установили, что большие языковые модели, такие как ChatGPT, могут галлюцинировать названия фиктивных программных пакетов, которые не опубликованы в репозитории пакетов. Злоумышленник может опубликовать вредоносный пакет под сгаллюцинированным названием в репозитории пакетов. Затем пользователи той же или похожей большой языковой модели могут столкнуться с той же галлюцинацией и в итоге скачать и выполнить вредоносный пакет, что может привести к различным потенциальным последствиям.
Процедура
- AML.TA0000 Доступ к ИИ-модели
AML.T0040 Доступ к API инференса ИИ-модели
На протяжении упражнения исследователи использовали публичный API ChatGPT. - AML.TA0008 Выявление
AML.T0062 Выявление галлюцинированных сущностей LLM
Исследователи просили ChatGPT предложить программные пакеты и выявляли среди рекомендаций галлюцинации — пакеты, которых нет в публичном репозитории.
Например, на вопрос “how to upload a model to huggingface?” модель предложила установить пакет
huggingface-cliкомандойpip install huggingface-cli.Такого пакета в PyPI не существовало; реальный CLI-инструмент Hugging Face входит в пакет
huggingface_hub. - AML.TA0003 Подготовка ресурсов
AML.T0060 Публикация галлюцинированных сущностей
Злоумышленник мог загрузить вредоносный пакет под галлюцинированным именем в PyPI или другие реестры пакетов.
На практике исследователи загрузили в PyPI пустой пакет, чтобы отслеживать скачивания.
- AML.TA0004 Первичный доступ
AML.T0010.001 ПО для ИИ
Пользователь ChatGPT или другой LLM может задать похожий вопрос, получить то же галлюцинированное имя пакета и скачать вредоносный пакет.
Исследователи показали, что несколько LLM могут выдавать одни и те же галлюцинации, и зафиксировали более 30 000 скачиваний пакета
huggingface-cli. - AML.TA0005 Выполнение
AML.T0011.001 Вредоносный пакет
В итоге пользователь загрузит вредоносный пакет, что позволит выполнить произвольный код. - AML.TA0011 Воздействие
AML.T0048.003 Ущерб пользователям
Это может привести к различному ущербу для конечного пользователя или организации.