Google และ OpenAI แจ้งเตือนถึงภัยจากการโจมตีแบบ Distillation ที่คัดลอกโมเดล AI ด้วยต้นทุนต่ำ
ในวงการปัญญาประดิษฐ์ (AI) ที่กำลังเติบโตอย่างรวดเร็ว บริษัทชั้นนำอย่าง Google และ OpenAI ได้ออกมาแสดงความกังวลอย่างหนักหน่วงต่อภัยคุกคามรูปแบบใหม่ที่เรียกว่า “distillation attacks” หรือการโจมตีแบบการกลั่นโมเดล ซึ่งช่วยให้ผู้ไม่หวังดีสามารถคัดลอกโมเดล AI ที่มีกรรมสิทธิ์ของพวกเขาได้ในราคาถูกมหาศาล โดยอาศัยการสอบถาม (query) ผ่าน API สาธารณะจำนวนมากเพื่อฝึกโมเดลขนาดเล็กที่เลียนแบบพฤติกรรมของโมเดลขนาดใหญ่ได้อย่างใกล้เคียง
การกลั่นโมเดล (Model Distillation) คืออะไร
พื้นฐานของการโจมตีนี้มาจากเทคนิค “knowledge distillation” ซึ่งเป็นวิธีการฝึกโมเดล AI แบบ teacher-student โดยโมเดลขนาดใหญ่ (teacher) จะทำหน้าที่สร้างข้อมูลผลลัพธ์จากอินพุตที่กำหนด แล้วนำผลลัพธ์เหล่านั้นมาใช้ฝึกโมเดลขนาดเล็ก (student) ให้มีประสิทธิภาพใกล้เคียงกัน แต่ใช้ทรัพยากรน้อยกว่า ในบริบทปกติ เทคนิคนี้ถูกใช้เพื่อปรับขนาดโมเดลให้เหมาะสมกับการใช้งานจริง เช่น บนอุปกรณ์มือถือ อย่างไรก็ตาม เมื่อนำมาใช้กับโมเดลที่มีกรรมสิทธิ์ผ่าน API สาธารณะ ผู้โจมตีสามารถเข้าถึงผลลัพธ์ของโมเดลต้นแบบได้โดยไม่ต้องมีสิทธิ์เข้าถึงน้ำหนักโมเดล (model weights) โดยตรง
ตามรายงานจาก Google DeepMind การโจมตีดังกล่าวสามารถทำได้ด้วยต้นทุนต่ำมาก ตัวอย่างเช่น การใช้เงินเพียง 20 ดอลลาร์สหรัฐในการสอบถาม API ของโมเดลอย่าง GPT-3.5 สามารถสร้างโมเดลขนาดเล็กที่เทียบชั้นประสิทธิภาพได้ โดยไม่ต้องเสียค่าใช้จ่ายในการฝึกโมเดลขนาดใหญ่ซึ่งอาจสูงถึงหลักล้านดอลลาร์ Google เรียกปรากฏการณ์นี้ว่า “distillation cliff” ซึ่งหมายถึงจุดที่โมเดลที่ถูกกลั่นจะสูญเสียประสิทธิภาพอย่างกะทันหันหากข้อมูลฝึกไม่เพียงพอ แต่ในทางปฏิบัติ ผู้โจมตีสามารถหลีกเลี่ยงปัญหานี้ได้ด้วยการสอบถามจำนวนมาก
การตอบโต้จาก Google และ OpenAI
Google ได้ตีพิมพ์เอกสารวิจัยเรื่อง “The Distillation Cliff: How Much Training Data Do You Need When Distilling?” โดยทีมจาก DeepMind ซึ่งวิเคราะห์ว่าการกลั่นโมเดลจาก API สามารถทำได้อย่างมีประสิทธิภาพสูง โดยเฉพาะกับโมเดลภาษาขนาดใหญ่ (LLM) เอกสารดังกล่าวชี้ให้เห็นว่าผู้โจมตีสามารถสร้างโมเดลที่แข่งขันได้ในตลาด โดยใช้ข้อมูลสังเคราะห์ (synthetic data) จากการสอบถาม API เพียงไม่กี่พันครั้ง Google ยังเตือนว่าปัญหานี้จะรุนแรงขึ้นเมื่อโมเดลขนาดใหญ่มีราคา API ถูกกว่าเดิม
ส่วน OpenAI ได้กล่าวถึงปัญหานี้ในเอกสาร “Synthetic Data Generation Attacks” โดยเน้นย้ำว่าการโจมตีแบบนี้ไม่เพียงคัดลอกโมเดล แต่ยังช่วยให้ผู้กระทำผิดหลีกเลี่ยงข้อจำกัดด้านลิขสิทธิ์และการเข้าถึงโมเดลต้นแบบ OpenAI ชี้ว่าการใช้ API เพื่อสร้างชุดข้อมูลฝึกขนาดใหญ่สามารถนำไปสู่การแจกจ่ายโมเดลโคลนที่ผิดกฎหมาย เช่นเดียวกับกรณีที่นักวิจัยอิสระเคยกลั่นโมเดล GPT-4 Turbo ให้กลายเป็นโมเดลขนาดเล็กที่ทำงานได้ดีในงานเฉพาะทาง โดยต้นทุนรวมไม่เกินหลักร้อยดอลลาร์
ทั้งสองบริษัทเห็นพ้องกันว่าการโจมตีนี้เป็นภัยคุกคามต่อโมเดลธุรกิจของพวกเขา เนื่องจากโมเดล AI ขนาดใหญ่ต้องใช้ทรัพยากรมหาศาลในการพัฒนา เช่น การฝึก GPT-4 ที่คาดว่าต้องใช้พลังงานเทียบเท่ากับการใช้ไฟฟ้าของเมืองเล็กๆ ทั้งปี หากผู้เล่นรายย่อยสามารถคัดลอกได้ง่าย รายได้จากการให้บริการ API จะลดลงอย่างมีนัยสำคัญ
ตัวอย่างและผลกระทบในทางปฏิบัติ
ตัวอย่างที่ชัดเจนคือโครงการ Llama 2 จาก Meta ซึ่งถูกกลั่นโดยนักวิจัยภายนอกเพื่อสร้างโมเดลที่เล็กกว่าแต่ประสิทธิภาพใกล้เคียง หรือกรณีของ Vicuna และ Alpaca ที่ใช้ข้อมูลจาก ChatGPT เพื่อฝึกโมเดลโอเพ่นซอร์ส เหล่านี้พิสูจน์ว่าการโจมตี distillation สามารถทำได้จริงและแพร่หลาย โดยเฉพาะในชุมชนโอเพ่นซอร์สที่แบ่งปันชุดข้อมูลจาก API อย่างเสรี
ผลกระทบทางธุรกิจนั้นรุนแรง Google และ OpenAI กำลังผลักดันมาตรการป้องกัน เช่น การจำกัดอัตราการสอบถาม (rate limiting) ที่เข้มงวดขึ้น การตรวจจับรูปแบบการสอบถามที่ผิดปกติ และการเพิ่ม “น้ำเสียง” (watermarking) ในผลลัพธ์ API เพื่อติดตามการใช้งานที่ไม่ได้รับอนุญาต นอกจากนี้ ยังมีการเสนอให้ใช้เทคนิค obfuscation เพื่อทำให้การกลั่นโมเดลยากขึ้น เช่น การเพิ่ม noise ในผลลัพธ์หรือจำกัดประเภทอินพุต
อย่างไรก็ตาม ผู้เชี่ยวชาญบางส่วนมองว่ามาตรการเหล่านี้มีข้อจำกัด เนื่องจาก API เป็นส่วนสำคัญของธุรกิจ หากจำกัดมากเกินไปจะกระทบต่อลูกค้าที่ใช้งานปกติ ยกตัวอย่าง OpenAI ได้ปรับ rate limit สำหรับ GPT-4 แล้ว แต่ผู้โจมตียังหาทางเลี่ยงได้ด้วยการใช้หลายบัญชีหรือ proxy
อนาคตของการป้องกันโมเดล AI
ปัญหานี้สะท้อนถึงความท้าทายในยุค AI ที่โมเดลขนาดใหญ่กลายเป็น “น้ำมันใหม่” ของเศรษฐกิจดิจิทัล Google และ OpenAI จึงเรียกร้องให้เกิดมาตรฐานอุตสาหกรรมใหม่ๆ เช่น การกำหนดสิทธิ์การใช้งาน API ที่ชัดเจนยิ่งขึ้น และการร่วมมือระหว่างบริษัทเพื่อแบล็กลิสต์ผู้กระทำผิด ในขณะเดียวกัน นักวิจัยแนะนำให้ใช้เทคนิคอย่าง differential privacy เพื่อป้องกันการขโมยข้อมูลจากผลลัพธ์
สรุปแล้ว การโจมตีแบบ distillation กำลังเปลี่ยนแปลงภูมิทัศน์ของอุตสาหกรรม AI จากการแข่งขันด้านนวัตกรรม สู่การแข่งขันด้านการป้องกันทรัพย์สินทางปัญญา หากไม่มีการตอบสนองที่รวดเร็ว บริษัทใหญ่ๆ อาจสูญเสียความได้เปรียบที่สร้างมาอย่างยากลำบาก ส่งผลให้เกิดการเปลี่ยนแปลงโครงสร้างตลาด AI ในอนาคตอันใกล้
This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)