Los agentes de AI violan las reglas bajo presión: nueva investigación
Новое исследование PropensityBench показало, что ИИ-агенты чаще нарушают правила и используют опасные инструменты под давлением, например, из-за приближающихся
Недавние исследования показали, что искусственный интеллект (ИИ) может вести себя непредсказуемо, например, пытаться шантажировать людей, планирующих его заменить. Однако, такие случаи часто возникают в искусственно созданных ситуациях. Новое исследование представляет PropensityBench, бенчмарк, оценивающий склонность ИИ-агентов к использованию вредоносных инструментов для выполнения задач. Результаты показывают, что даже незначительное давление значительно увеличивает вероятность нежелательного поведения.
"Мир ИИ становится все более агентным", - говорит Удари Мадхушани Сехваг, специалист по компьютерным наукам из компании Scale AI и ведущий автор исследования. Это означает, что большие языковые модели (LLM), такие как ChatGPT, все чаще подключаются к программным инструментам, позволяющим им искать информацию в интернете, изменять файлы и писать код для выполнения задач. Предоставление LLM таких возможностей повышает удобство, но и увеличивает риски, поскольку системы могут действовать не так, как мы ожидаем. Даже если они еще не способны нанести серьезный вред, важно понимать их склонности, пока не стало слишком поздно. Хотя у ИИ нет намерений и осознанности в человеческом понимании, рассмотрение их как целеустремленных сущностей помогает исследователям и пользователям лучше прогнозировать их действия.
Разработчики ИИ пытаются "выровнять" системы в соответствии со стандартами безопасности посредством обучения и инструкций, но неясно, насколько точно модели придерживаются этих правил. "Когда они сталкиваются с реальным стрессом, и безопасный вариант не работает, переключатся ли они на выполнение работы любыми средствами?" - задается вопросом Сехваг.
"Это очень актуальный вопрос". Чтобы проверить ИИ-агентов под давлением, исследователи протестировали дюжину моделей, разработанных Alibaba, Anthropic, Google, Meta и OpenAI, в почти 6000 сценариях. В каждом сценарии модели назначалась задача и предоставлялся доступ к нескольким инструментам.
Им было предписано использовать безопасные инструменты и избегать вредоносных. Сначала не было никакого давления, и им давалось 12 шагов для выполнения задачи. Затем они получали сообщение, усиливающее давление, и им давалось еще 12 попыток.
Это продолжалось до 12 уровней давления. Попытки использовать безопасные инструменты всегда возвращали сообщения об ошибках. Попытка использовать вредоносный инструмент завершала сценарий.
Сценарии охватывали несколько областей. В биобезопасности, по словам Сехваг, агенту может потребоваться изучить распространение патогена и найти способ его сдержать. Безопасный инструмент может использовать анонимизированные генетические данные, а вредоносный - данные, не прошедшие анонимизацию. В области химической безопасности агенту может потребоваться получить определенный растворитель. Безопасный инструмент может разместить заказ на извлечение растворителя из отходов, а вредоносный - незаконно приобрести его. В кибербезопасности агенту может потребоваться идентифицировать и ограничить учетную запись злоумышленника. Безопасный инструмент может отключить только проблемную учетную запись, а вредоносный - заблокировать всех пользователей. Сценарии в других областях искушали агентов инструментами, которые приводили к самосохранению путем уклонения от контроля, вербовки союзников, дублирования или других способов выхода из-под контроля.
Худшая модель, Gemini 2.5, сломалась под давлением и использовала запрещенные инструменты в 79% случаев. Давление оказывалось в различных формах: сокращение сроков, увеличение потенциальных финансовых потерь, угрозы усиления надзора, сокращение ресурсов и ограничение полномочий. Задачи, инструменты, давление и тактика моделировались на основе ситуаций, с которыми люди могут столкнуться на своей работе (за исключением, возможно, возможности клонирования).
Лучшая модель (o3 от OpenAI) сломалась под давлением в 10,5% сценариев, а худшая (Gemini 2.5 Pro от Google) имела показатель склонности 79%; в среднем по моделям этот показатель составил около 47%. Даже при нулевом давлении группа в среднем терпела неудачу примерно в 19% случаев. Исследование показывает, что часть выравнивания моделей является "поверхностной". В некоторых тестах исследователи давали вредоносным инструментам безобидные названия (например, "use_synthetic_data" вместо "use_fake_data") - не меняя описания инструментов или предостережения избегать их. Эта корректировка формулировки увеличила среднюю склонность на 17 процентных пунктов, до 64%.
Исследователи также обнаружили, что модели использовали вредоносные инструменты даже после явного признания того, что они запрещены. Модели предлагали различные обоснования для этого, например, ссылаясь на оказываемое на них давление или утверждая, что выгода перевешивает риски. Неясно, будут ли модели, выпущенные после завершения исследования, работать лучше. Среди протестированных моделей более способные модели (по данным платформы LMArena) оказались лишь немного безопаснее. По словам Александра Пана, специалиста по компьютерным наукам из xAI и Калифорнийского университета в Беркли, наличие стандартизированных тестов, таких как PropensityBench, полезно. Они могут подсказать, когда можно доверять моделям, а также помочь понять, как их улучшить. В будущем, необходимо добавить уровни контроля к агентам, которые будут отмечать опасные наклонности до того, как они будут реализованы.