Ще успее ли изкуственият интелект да мине теста "Не съм робот"?

Моделът, известен като "КАПЧА Ви2" разчита на данните от бисквитките и историята на браузъра при преценката дали потребителят е човек или не, обясниха изследователите при обявяването на резултатите от проучването.

Това не означава, че интернетът вече е "счупен", заяви пред БНР единият от изследователите - Андреас Плеснер.

Кое ви накара да направите проучването?

"Първоначално започнахме проекта като на шега. Бяхме провокирани от това, че съществуващите чатботове, базирани на изкуствен интелект, генерират доста неща, което звучи много, много добре. Сякаш мога да го питам за всичко. Но в същото време, отивайки на сайта, често ни карат да "посочваме" онези картинки от сорта – къде е светофарът, за да доказваме, че не сме роботи. Това ни се стори странно - че в интернет средата тези системи може да съществуват заедно. Това е едната причина. Освен това, имахме желание да видим дали съществуващите модели биха могли да решат този тест. Искахме да покажем, че не е толкова трудно да се направи. И така започнахме проекта. Заедно с Тобиас, който правеше своя семестриален проект в нашата лаборатория. Той свърши част от техническата работа при настройването на тези модели. Първоначалната ни мотивация беше заради наличието на съществуващите модели да покажем, че те действително могат да го решат. Направихме го и постигнахме добри резултати."

Но добрите резултати за вас са притеснителни за киберсигурността?

"Така е. Това е лоша новина за хората, които искат да защитят уебсайта си. По отношение на хората, които искат да защитят своите уебсайтове смятам, че това са адекватни резултати. Защото показват, че версията, която тествахме на този "Не съм робот" софтуер, не е достатъчна, за да защити уебсайта ви и това е сигнал да се направи нещо по въпроса. Може да помогне в някои случаи. Случва се така, че моделът ви защитава, но е подложен на натоварване от гледна точка на атакуващите. Разбира се, все още имате защита, но все още не е перфектна защита и не е достатъчна. Това означава, че ако искате да защитите уебсайта си, трябва да използвате нещо друго. След това си поиграхме с третата версия на "Не съм робот". Тя работи различно. Ще ви спестя техническите детайли. Но и тези тестове показаха, че е също толкова лесно да се заблуди."

За да "разбиете" защитата сте използвали модел, който сте нарекли "От пръв поглед". Това не е ли притеснително?

"Не е. Причината да ползваме тези модели е, че те са леки модели и  могат да бъдат пускани на почти всички компютри тези дни. В този смисъл не, не е толкова утешително да знаеш, че нямаш нужда от голям усъвършенстван модел и можеш да се задоволиш с прост модел, който да заобиколи защитата. Нашето изследване беше готово миналата пролет. Горе-долу от изследването ни е минала година."

Това е доста време. А за това време имаше ли някаква реакция от създателите на "Не съм робот" алгоритъма?

"Реакции имаше от страна на хората, които ползват тази защита. Директно не съм чул нищо от Гугъл, създателите на този алгоритъм. Но в повечето случаи те заявяват, че версията на защитата, която заобиколихме, не е основен модел, работещ на уебсайтове. За тяхната защита се грижи третата версия на защитата. Но и за това изявление имам две съмнения. Едното е от други първоначални резултати, които се надяваме да публикуваме скоро, които показват, че и третата версия може да бъде заобиколена. Начинът, по който работи третата версия - в нея има повече неясноти дали някой е човек или не е. И тъй като не сме сигурни, в тяхната документация е посочено, че трябва да се ползва втората версия. Така че, като цяло едва ли не ви казват чрез документацията, че втората версия на "Не съм робот" е по-добрият модел при "определяне на човека". Но аз не съм разговарял с никого от Гугъл. Интересното е, че подобни модели за "разбиване" на защита разчитат на отговора на въпроса "На коя картинка е светофарът". ChatGPT може и да не може да ви отговори, но всеки студент с опит в програмирането може да пусне този алгоритъм за заобикаляне на защитите."

Не е ли време в такъв случай да се преосмисли защитата в интернет?

"Време е. И моята работа е свързана именно с въпроса какво определя нещо като машина или като човек. Което има връзка с онзи въпрос, задаван от десетилетия – какво отличава човека от животното. Това до известна степен е философски въпрос. Затова ще продължим да правим опити да разбиваме модели на изкуствения интелект. Да разбираме в какво те НЕ са добри. И ще ви дам един пример от практиката. Човек може да помоли който иска езиков модел на изкуствен интелект за замести част от символите в изречението "Аз съм Андреас, студент в Швейцарския технологичен институт", като заместиш "е" с "и". И след това смени "т" с нещо друго. В повечето случаи моделът ще се провали със задачата, защото начинът, по който тези модели са направени, не го позволява. И въпросът тук е, че ако направя дизайн на защита от типа "Не съм робот", за твоя противник не е трудно да създаде "твърдо" правило за заместване. Това е лесно. Може да се програмира правило за заместване. Трябва да просто да се разбира правилото. Но един езиков модел не може динамично да направи това. Не може да направи самостоятелно това нещо лесно. Има много въпроси, с които моделите не могат да се справят. Основният въпрос със защитата "Не съм робот" е, че хората може да се учат доста бързо. И от тях тези системи бързо може да заемат наученото. Затова казвам, че е нужно да има по-силна защита."

Кое би било това по-силно нещо, което би защитило сайтовете? Говорим вече и за квантови компютри.

"Не съм сигурен кое би било това по-силно нещо. Квантовите изчисления работят по друг начин и имат общо повече с криптирането. И въпросът тук е тук, ако питаме какво отличава хората от машините, всъщност не е трудно да се намери задача за това. Сигурно имате пред себе си химикалка, молив. Опитайте се да балансирате този молив хоризонтално. Това е възможно да вас, но една машина много би се затруднила. Всичко това има общо с взаимодействието със света. От разговорите ми с хората от моята общност именно това взаимодействие със света е трудно за машините. Това не е свързано с теста "Не съм робот".

Другият вариант е влизане в сайта да е съпроводено с предоставянето на някакъв вид тоукън за идентичност. Но тук вече може да се повдигнат въпроси за личните данни и анонимността. Може да се прави и чрез трети лица. Но тук пак става въпрос на доверие. Всичко това се приближава до въпроса за децентрализираните изчисления, което не е моя област на знания. Подобни защити може например да искате да направите за, да речем, правителствени уебсайтове, уебсайтове, за които поверителността и анонимността не са от решаващо значение.

Това, което в последно време намирам за интересно и което разглеждат някои от моите изследвания, е нещо, наречено състезателни примери. Много просто обяснено – вземате изображение на панда - това е класическият пример, добавяте малко "шум". Човек в този случай не би видял особена разлика в изображението, но моделът за машинно обучение със сигурност би определил, че на снимката има птица. Има много изследвания за това. Това беше нещо, открито преди десет години - тези свойства, с които можете много лесно да излъжете модела. И има много проучвания защо се случва това и как се предпазвате от него, как правите други атаки." 

От това, което разказвате, става ясно, че по същество хората все още са по-умни от тези неща с изкуствен интелект…

"Ние все още сме по-добри в това как виждаме света. И сме по- устойчиви. Затова това, което правим за потребителите на интернет, би имало по-непряко въздействие. Проверката "Не съм робот" има отношение повече за собствениците на уебсайтове, как собствениците да си защитят уебсайтовете. Например от т.нар. атаки за отказ от услуга, при които сайтът е бомбардиран с толкова много заявки, че блокира. Там подобни защити работят. За обикновения потребител въпросът "Човек ли си" не е от значение, но това би оказало в дългосрочен план влияние за това как взаимодействаме помежду си в интернет и в цифровия живот, където всеки може да се представя за друг човек и където дори машините могат да се представят за други хора. И те да добри в това. Примерите са ви известни – снимки, текст, генерирани от изкуствен интелект. Дори да си създадете потребителски профил във Facebook, който изглежда много човешки, сякаш говори като хора, показва състрадание, както биха направили хората. И понеже през текста като човек не бихте усетили това, ние, изследователите, търсим начини да помогнем на потребителите да идентифицират тези проблеми."

Тоест, проучванията продължават?

"Да. Винаги имате ситуация, при която някой ще създаде защита и някой ще иска да я атакува. И ако атаката успее, винаги ще е нужно проучване как да се направи добра защита. Това е безкраен процес. Специално за нашето проучване – то няма злонамереност. Не търсим с лоши намерения да "счупим" нарочно модела "Не съм робот" или да даваме идеи на "лоши хора". Пак ще кажа – тази техника не изисква нищо специално извън специалните знания, нужни за това. И освен това, част от знанията са публично известни, както и методите за криптиране на съобщенията в интернет са налични от десетилетия и са доста солидни. Като изключим възможността за квантовите комуникации и декриптиране.

Нашето проучване не означава, че вече не можете да се доверите на всичко, което виждате в интернет. Не повече, отколкото преди година, или че не сте могли да направите това преди година. Защото, както споменах, това все още изисква малко допълнителна работа, за да проработи. Не това, че интернетът вече е "счупен". Това само показва къде са неговите слабости. Че все още има проучвания, които да се правят и е добре също така обществото да знае тези неща. Не заради интересния казус, но и заради това, че като цяло вярвам, че е важна  поверителността в интернет. Не бих искал сега, като чуят това вашите слушатели, да си помислят, че не могат да използват интернет. Интернет в никакъв случай не е "счупен".