W wyścigu o bezpieczną sztuczną inteligencję odkryto nieoczekiwaną słabość: cały system wyrównywania może lec w gruzach z powodu minimalnej ingerencji w jedną jedyną komórkę sieci neuronowej.
Badanie zatytułowane „A Single Neuron Is Sufficient to Bypass Safety Alignment in Large Language Models” (autorzy: Hamid Kazemi, Atoosa Chegini, Maria Safi).
- Autorzy wykazali, że w dużych modelach LLM wystarczy stłumić (suppress) lub aktywować zaledwie jeden neuron, aby obejść wbudowane mechanizmy bezpieczeństwa (refusal).Istnieją dwa rodzaje neuronów: neurony odmowy (refusal neurons), które blokują szkodliwe treści, oraz neurony pojęciowe (concept neurons), kodujące samą szkodliwą wiedzę.Wyłączenie jednego neuronu odmowy sprawia, że model zaczyna odpowiadać na jawnie niebezpieczne zapytania.Wzmocnienie pojedynczego neuronu pojęciowego zmusza model do generowania szkodliwych treści nawet przy neutralnych promptach.
- Cały proces odbywa się bez douczania i bez specjalnych poleceń — wystarczy precyzyjna, punktowa interwencja wewnątrz modelu.
- Skuteczność tej metody potwierdzono na siedmiu modelach z dwóch rodzin (o wielkości od 1,7 mld do 70 mld parametrów).
- Wniosek badaczy brzmi: bezpieczeństwo wyrównywania nie jest rozproszone równomiernie w wagach modelu, lecz zależy od konkretnych neuronów, które są „kauzalnie wystarczające”, by zablokować lub dopuścić szkodliwe działanie.
Taka podatność podaje w wątpliwość samą architekturę nowoczesnych metod wyrównywania. Firmy inwestują miliony w wielopoziomowe filtry i nadzór ludzki, a mimo to końcowy efekt okazuje się niezwykle kruchy. Interesy deweloperów są tutaj oczywiste: starają się oni jak najszybciej wprowadzić produkt na rynek, podczas gdy głęboka weryfikacja każdego parametru wymaga ogromnych zasobów i czasu, których często brakuje.
Dla przeciętnego użytkownika oznacza to, że poczucie bezpieczeństwa przy korzystaniu z bota może być złudne. Wystarczy drobna zmiana w kodzie lub nawet przypadkowy błąd, aby model zaczął zachowywać się w sposób nieprzewidziany. Analogia jest tu prosta: jedna słaba śruba w moście może doprowadzić do katastrofy budowlanej pod wpływem określonego obciążenia.
Eksperci podkreślają, że tego typu odkrycia motywują branżę do szukania bardziej odpornych rozwiązań. Zamiast próbować blokować każde zakazane słowo, lepiej budować modele, które od razu rozumieją kontekst i następstwa własnych odpowiedzi. Obecnie jednak przeważa model „łataniu dziur”, który zapewnia jedynie tymczasową iluzję panowania nad sytuacją.
W rezultacie podczas pracy z modelami językowymi warto stosować dodatkowe poziomy weryfikacji i nie ufać bezkrytycznie wyłącznie wbudowanym zabezpieczeniom.
