Os chamados ataques de destilação recolhem respostas de modelos de IA para treinar sistemas mais pequenos e mais baratos.
Numa altura em que Estados Unidos e China disputam o desenvolvimento da inteligência artificial (IA), a empresa norte-americana Anthropic é a mais recente a soar o alarme de que empresas chinesas de IA têm vindo a roubar a tecnologia que pode ditar quem sai vencedor.
PUBLICIDADE
PUBLICIDADE
DeepSeek, Moonshot AI e MiniMax terão gerado, em segredo, mais de 16 milhões de conversas com o chatbot de IA Claude, da Anthropic, recorrendo a mais de 24 000 contas falsas, para extrair conhecimento e treinar os seus próprios modelos concorrentes, alega a empresa.
Também a OpenAI e a Google alertaram este mês para acusações semelhantes dirigidas a empresas chinesas, alimentando receios de que a China esteja a encurtar anos de investigação dispendiosa em IA.
Em que consiste a destilação de IA?
Os ataques de extração de modelos (MEA), também conhecidos como "destilação", são uma técnica em que alguém com acesso a um modelo de IA poderoso o utiliza para treinar um rival mais barato e rápido.
O método consiste em enviar milhares de perguntas ao modelo maior, recolher as respostas e utilizá-las para ensinar um novo modelo a raciocinar da mesma forma.
O utilizador faz perguntas ao modelo maior e usa as respostas para treinar o modelo mais pequeno, o que permite desenvolver essa IA mais rapidamente e "a uma fração do custo" de fazer todo o trabalho de raiz, alega a Anthropic.
A destilação é uma prática "legítima" quando os próprios laboratórios de IA de ponta destilam os seus modelos para "criar versões mais pequenas e baratas para os seus clientes", afirmou a empresa norte-americana.
Os modelos mais pequenos respondem muito mais depressa às solicitações e exigem menos capacidade de computação ou energia do que o modelo maior, indicou a Google.
Já os modelos desenvolvidos através de destilação representam riscos significativos para a segurança nacional porque "não dispõem das salvaguardas necessárias" para limitar o potencial perigoso destas ferramentas, de acordo com a Anthropic.
A Anthropic afirmou que os modelos destilados não terão mecanismos de proteção para impedir que atores estatais e não estatais utilizem a IA em armas biológicas ou em ciberataques.
Num ataque de destilação não existem riscos para os utilizadores comuns de IA, acrescentou a Google, uma vez que estes ataques não "põem em causa a confidencialidade, disponibilidade ou integridade dos serviços de IA".
Em fevereiro, a OpenAI disse a legisladores norte-americanos que apanhou a DeepSeek a tentar copiar em segredo os seus modelos de IA mais poderosos e alertou que a empresa chinesa estava a desenvolver novos métodos para dissimular o que fazia.
O que ensinam os hackers aos seus modelos?
As empresas chinesas de IA terão encaminhado o tráfego através de endereços proxy que geriam uma vasta "rede hidra", um grande conjunto de contas falsas que dispersavam a atividade por várias plataformas para conseguir acesso à Anthropic, já que o serviço está proibido na China.
Depois de obterem acesso, geraram grandes volumes de pedidos, quer para recolher respostas de elevada qualidade para treino de modelos, quer para criar dezenas de milhares de tarefas de aprendizagem por reforço, o método através do qual um agente aprende a tomar decisões com base no feedback.
As contas da DeepSeek que atacaram o Claude pediam ao modelo que explicasse como justificava uma resposta a um pedido e a descrevesse passo a passo, o que, segundo a empresa, "gerou, em grande escala, dados de treino de cadeia de raciocínio".
Segundo a Anthropic, as contas da DeepSeek também usaram o Claude para "gerar alternativas seguras do ponto de vista da censura a perguntas politicamente sensíveis", como questões sobre opositores ao atual Partido Comunista.
A empresa norte-americana considera que esses pedidos treinaram os modelos da DeepSeek "para desviar as conversas de temas censurados", o que poderá corroborar um estudo recente que concluiu que os modelos de IA chineses provavelmente censuram os mesmos assuntos que os seus meios de comunicação.
A MiniMax AI e a Moonshot AI terão conduzido campanhas de destilação maiores do que a DeepSeek, mas a Anthropic não apresentou exemplos dos tipos de informação que estas duas empresas recolheram nos seus pedidos.
A Google indicou (fonte em inglês) que o seu chatbot de IA, Gemini, tem vindo a ser usado de forma abusiva para tarefas de programação e criação de scripts ou para recolher informação sensível, como credenciais de contas e endereços de correio eletrónico.
A Anthropic afirma ter desenvolvido mecanismos de deteção para identificar estas campanhas à medida que ocorrem, mas sublinha que nenhuma empresa de IA consegue resolver o problema sozinha.