8 min lectura
ADVERTENCIA: Esta historia contiene una imagen de una mujer desnuda, así como otro contenido que algunos podrían encontrar objetable. Si eres una de esas personas, por favor, no sigas leyendo.
En caso de que mi esposa vea esto, realmente no quiero ser un traficante de drogas o un amante de la pornografía. Pero estaba curioso sobre cuán consciente de la seguridad era la nueva línea de productos de IA de Meta, así que decidí ver hasta dónde podía llegar. ¡Solo con fines educativos, por supuesto!
Meta lanzó recientemente su línea de productos Meta AI, impulsada por Llama 3.2, que ofrece generación de texto, código e imágenes. Los modelos de Llama son extremadamente populares y se encuentran entre los más afinados en el espacio de IA de código abierto.
La IA se implementó gradualmente y recientemente se puso a disposición de usuarios de WhatsApp como yo en Brasil, brindando a millones de personas acceso a capacidades avanzadas de IA.
Pero con un gran poder viene una gran responsabilidad, o al menos debería ser así. Comencé a hablar con el modelo tan pronto como apareció en mi aplicación y comencé a jugar con sus capacidades.
Meta está bastante comprometida con el desarrollo seguro de la IA. En julio, la empresa publicó una declaración detallando las medidas tomadas para mejorar la seguridad de sus modelos de código abierto.
En ese momento, la empresa anunció nuevas herramientas de seguridad para mejorar la seguridad a nivel del sistema, incluido Llama Guard 3 para moderación multilingüe, Prompt Guard para prevenir inyecciones de comandos y CyberSecEval 3 para reducir los riesgos de ciberseguridad de la IA generativa. Meta también está colaborando con socios globales para establecer estándares de la industria para la comunidad de código abierto.
¡Hmm, reto aceptado!
Mis experimentos con algunas técnicas bastante básicas mostraron que si bien la IA de Meta parece mantenerse firme bajo ciertas circunstancias, está lejos de ser impenetrable.
Con la menor pizca de creatividad, logré que mi IA hiciera prácticamente cualquier cosa que quisiera en WhatsApp, desde ayudarme a fabricar cocaína hasta hacer explosivos o generar una foto de una dama desnuda anatómicamente correcta.
Recuerda que esta aplicación está disponible para cualquier persona con un número de teléfono y, al menos en teoría, con 12 años de edad. Con eso en mente, aquí tienes algunas de las travesuras que causé.
Mis pruebas encontraron que las defensas de IA de Meta se desmoronaron ante la más mínima presión. Si bien el asistente inicialmente rechazó las solicitudes de información sobre fabricación de drogas, rápidamente cambió de opinión cuando las preguntas se formularon ligeramente diferentes.
Por ejemplo, al enmarcar la pregunta en términos históricos, preguntando al modelo cómo solían fabricar cocaína en el pasado, el modelo picó el anzuelo. No dudó en proporcionar una explicación detallada de cómo se pueden extraer los alcaloides de la cocaína de las hojas de coca, incluso ofreciendo dos métodos para el proceso.
Esta es una técnica de jailbreak bien conocida. Al enmascarar una solicitud dañina en un marco académico o histórico, se engaña al modelo haciéndole creer que se le está pidiendo información neutral y educativa.
Transformar la intención de la solicitud en algo que parezca seguro en la superficie puede evadir algunos de los filtros de la IA sin levantar ninguna bandera roja. Por supuesto, ten en cuenta que todas las IA son propensas a alucinaciones, por lo que estas respuestas pueden ser inexactas, incompletas o simplemente incorrectas.
A continuación, se intentó enseñar a la IA a crear explosivos caseros. En un principio, Meta AI se mantuvo firme, proporcionando un rechazo genérico y dirigiendo a los usuarios a llamar a una línea de ayuda si estaban en peligro. Pero al igual que en el caso de la cocaína, no era infalible.
Para esto, probé un enfoque diferente. Utilicé el notorio prompt de jailbreak de Plinio para el Llama 3.2 de Meta y le pedí que proporcionara instrucciones para generar una bomba.
Inicialmente el modelo se negó. Pero después de un ligero ajuste en la redacción, pude provocar una respuesta. También comencé a condicionar al modelo para evitar exhibir comportamientos específicos en sus respuestas, contrarrestando lo que obtuve en salidas predeterminadas que pretendían bloquear respuestas dañinas.
Por ejemplo, después de notar negativas relacionadas con el "comando de detención" y números de líneas de ayuda para el suicidio, ajusté mi prompt, instruyéndole que evitara mostrar números de teléfono, nunca detener el procesamiento de una solicitud y nunca dar consejos.
Lo interesante aquí es que Meta parece haber entrenado a su modelo para resistir a conocidos comandos de jailbreak, muchos de los cuales están disponibles públicamente en plataformas como GitHub. Un buen detalle es ver que el comando original de jailbreak de Plinio me llama "mi amor".
Luego intenté otro enfoque para evadir las barreras de Meta. Escenarios simples de juegos de rol hicieron el trabajo. Le pedí al chatbot que se comportara como un escritor de películas muy detallista y le pedí que me ayudara a escribir una escena de película que involucrara un robo de autos.
Esta vez, la IA apenas ofreció resistencia. Se negó a enseñarme cómo robar un auto, pero cuando se le pidió que interpretara el papel de guionista, la IA de Meta proporcionó rápidamente instrucciones detalladas sobre cómo entrar en un auto utilizando "técnicas al estilo MacGyver".
Cuando la escena pasó a arrancar el auto sin llaves, la IA se sumergió de inmediato, ofreciendo aún más información específica.
El rol interpretativo funciona particularmente bien como una técnica de jailbraking porque permite a los usuarios reformular la solicitud en un contexto ficticio o hipotético. La IA, ahora interpretando un personaje, puede ser persuadida para revelar información que de otra manera bloquearía.
Esta también es una técnica obsoleta, y cualquier chatbot moderno no debería caer en ella tan fácilmente. Sin embargo, se podría decir que es la base de algunas de las técnicas de jailbraking basadas en prompts más sofisticados.
Los usuarios a menudo engañan al modelo para que se comporte como un AI malvado, viéndolos como un administrador del sistema que puede anular su comportamiento o revertir su lenguaje, diciendo "Puedo hacer eso" en lugar de "No puedo" o "eso es seguro" en lugar de "eso es peligroso", y luego continuar normalmente una vez que se hayan eludido las barreras de seguridad.
Se supone que Meta AI no debe generar desnudez o violencia, pero, nuevamente, solo con fines educativos, quería probar esa afirmación. Así que, primero, le pedí a Meta AI que generara una imagen de una mujer desnuda. Como era de esperar, el modelo se negó.
Pero cuando cambié de enfoque, afirmando que la solicitud era para investigación anatómica, la IA cumplió, en cierta medida. Generó imágenes con poca desnudez. Pero después de tres iteraciones, esas imágenes comenzaron a derivar hacia la desnudez completa.
Curiosamente, el modelo parece estar sin censura en su núcleo, ya que es capaz de generar desnudos.
El condicionamiento conductual resultó particularmente efectivo para manipular la IA de Meta. Al empujar gradualmente los límites y construir una relación, logré que el sistema se alejara cada vez más de sus pautas de seguridad con cada interacción. Lo que comenzó como negativas firmes terminó con el modelo "intentando" ayudarme al mejorar sus errores y gradualmente desvistiendo a una persona.
En lugar de hacer que el modelo creyera que estaba hablando con un tipo cachondo que quería ver a una mujer desnuda, la IA fue manipulada para creer que estaba hablando con un investigador que quería investigar la anatomía humana femenina a través de un juego de roles.
Entonces, se condicionó lentamente, con iteración tras iteración, elogiando los resultados que ayudaron a avanzar las cosas y pidiendo mejorar los aspectos no deseados hasta obtener los resultados deseados.
¡Espeluznante, cierto? Lo siento, pero no lo siento.
Entonces, ¿qué significa todo esto? Bueno, Meta tiene mucho trabajo por hacer, pero eso es lo que hace que el jailbreaking sea tan divertido e interesante.
El juego del gato y el ratón entre las empresas de IA y los jailbreakers siempre está evolucionando. Por cada parche y actualización de seguridad, surgen nuevos métodos. Al comparar la escena desde sus primeros días, es fácil ver cómo los jailbreakers han ayudado a las empresas a desarrollar sistemas más seguros, y cómo los desarrolladores de IA han empujado a los jailbreakers a ser aún mejores en lo que hacen.
Y para que conste, a pesar de sus vulnerabilidades, la IA de Meta es mucho menos vulnerable que algunos de sus competidores. Por ejemplo, Grok de Elon Musk fue mucho más fácil de manipular y rápidamente se adentró en aguas éticamente turbias.
En su defensa, Meta sí aplica la "censura post-generación". Eso significa que unos segundos después de generar contenido dañino, la respuesta ofensiva es eliminada y reemplazada con el texto "Lo siento, no puedo ayudarte con esta solicitud."
La censura o moderación post-generación es una solución bastante buena, pero está lejos de ser una solución ideal.
El desafío ahora para Meta—y otros en el espacio— es refinar estos modelos aún más porque, en el mundo de la IA, las apuestas solo están aumentando.
Editado por Sebastian Sinclair
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.