Sluit u aan bij onze dagelijkse en wekelijkse nieuwsbrieven voor de laatste updates en exclusieve inhoud over toonaangevende AI-dekking. Meer informatie
De ontwikkeling van AI lijkt op de vroege dagen van open source in het wilde westen: modellen worden op elkaar gebouwd, aan elkaar geflanst met verschillende elementen uit verschillende plaatsen.
En net als bij open-sourcesoftware levert dit problemen op als het gaat om zichtbaarheid en beveiliging: hoe kunnen ontwikkelaars weten dat de fundamentele elementen van kant-en-klare modellen betrouwbaar, veilig en betrouwbaar zijn?
Om een beter beeld te geven van AI-modellen, brengt software supply chain security-bedrijf Endor Labs vandaag Endor Labs Scores voor AI-modellen uit. Het nieuwe platform scoort de meer dan 900.000 open-source AI-modellen die momenteel beschikbaar zijn op Hugging Face, een van ’s werelds populairste AI-hubs.
“We staan zeker aan het begin, de vroege stadia”, vertelde George Apostolopoulos, oprichter en ingenieur bij Endor Labs, aan VentureBeat. “Er ligt een enorme uitdaging als het gaat om de black box met modellen; het is riskant om binaire code van internet te downloaden.”
Scoren op vier kritische factoren
Het nieuwe platform van Endor Labs maakt gebruik van 50 kant-en-klare statistieken die modellen op Hugging Face scoren op basis van veiligheid, activiteit, kwaliteit en populariteit. Ontwikkelaars hoeven geen grondige kennis te hebben van specifieke modellen; ze kunnen het platform vragen stellen zoals “Welke modellen kunnen sentimenten classificeren?” “Wat zijn de populairste modellen van Meta?” of “Wat is een populair stemmodel?”
Het platform vertelt ontwikkelaars vervolgens hoe populair en veilig modellen zijn en hoe recent ze zijn gemaakt en bijgewerkt.
Apostolopoulos noemde de beveiliging in AI-modellen ‘complex en interessant’. Er zijn talloze kwetsbaarheden en risico’s, en modellen zijn overal langs de lijn vatbaar voor kwaadaardige code-injectie, typosquatting en gecompromitteerde gebruikersgegevens.
“Het is slechts een kwestie van tijd, als deze zaken wijdverspreider worden, we overal aanvallers zullen zien”, zei Apostolopoulos. “Er zijn zoveel aanvalsvectoren dat het moeilijk is om vertrouwen te winnen. Het is belangrijk om zichtbaarheid te hebben.”
Endor – gespecialiseerd in het beveiligen van open-source afhankelijkheden – ontwikkelde de vier scorecategorieën op basis van Hugging Face-gegevens en literatuur over bekende aanvallen. Het bedrijf heeft LLM’s geïmplementeerd die die gegevens parseren, organiseren en analyseren, en het nieuwe platform van het bedrijf scant automatisch en continu op modelupdates of -wijzigingen.
Apostolopoulos zei dat er met extra factoren rekening zal worden gehouden naarmate Endor meer gegevens verzamelt. Het bedrijf zal uiteindelijk ook uitbreiden naar andere platforms dan Hugging Face, zoals commerciële providers, waaronder OpenAI.
“We zullen een groter verhaal hebben over het bestuur van AI, dat belangrijk wordt naarmate meer mensen het gaan inzetten”, aldus Apostolopoulos.
AI bevindt zich op hetzelfde pad als open source-ontwikkeling, maar het is veel ingewikkelder
Er zijn veel parallellen tussen de ontwikkeling van AI en de ontwikkeling van open source software (OSS), benadrukte Apostolopoulos. Beide hebben een groot aantal opties – evenals talrijke risico’s. Met OSS kunnen softwarepakketten indirecte afhankelijkheden introduceren die kwetsbaarheden verbergen.
Op dezelfde manier is de overgrote meerderheid van de modellen op Hugging Face gebaseerd op Llama of andere open source-opties. “Deze AI-modellen zijn vrijwel afhankelijk van elkaar”, zegt Apostolopoulos.
AI-modellen zijn doorgaans gebouwd op, of zijn in wezen uitbreidingen van, andere modellen, waarbij ontwikkelaars hun specifieke gebruiksscenario’s afstemmen. Hierdoor ontstaat wat hij omschreef als een ‘complexe afhankelijkheidsgrafiek’ die moeilijk te beheren en te beveiligen is.
“Ergens op de bodem, vijf lagen diep, bevindt zich dit funderingsmodel”, zegt Apostolopoulos. Het verkrijgen van duidelijkheid en transparantie kan moeilijk zijn, en de beschikbare gegevens kunnen ingewikkeld en “behoorlijk pijnlijk” zijn voor mensen om te lezen en te begrijpen. Het is moeilijk om te bepalen wat er precies in de modelgewichten staat, en er zijn geen lithografische manieren om ervoor te zorgen dat een model is wat het beweert te zijn, betrouwbaar is, zoals geadverteerd en dat het geen giftige inhoud produceert.
“Basistesten zijn niet iets dat lichtvaardig of gemakkelijk kan worden gedaan”, zegt Apostolopoulos. “De realiteit is dat er heel weinig en zeer gefragmenteerde informatie is.”
Hoewel het handig is om open source te downloaden, is het ook “extreem gevaarlijk”, omdat kwaadwillende actoren het gemakkelijk kunnen compromitteren, zei hij.
Gemeenschappelijke opslagformaten voor modelgewichten kunnen bijvoorbeeld het uitvoeren van willekeurige code mogelijk maken (of wanneer een aanvaller toegang kan krijgen en alle gewenste opdrachten of code kan uitvoeren). Dit kan vooral gevaarlijk zijn voor modellen die zijn gebouwd op oudere formaten zoals PyTorch, Tensorflow en Keras, legt Apostolopoulos uit. Bovendien kan het voor het implementeren van modellen nodig zijn om andere code te downloaden die schadelijk of kwetsbaar is (of die kan proberen afhankelijkheden te importeren die dat wel zijn). En installatiescripts of opslagplaatsen (evenals links ernaar) kunnen schadelijk zijn.
Naast de beveiliging zijn er ook talloze obstakels voor licentieverlening: net als bij open source zijn modellen onderworpen aan licenties, maar AI introduceert nieuwe complicaties omdat modellen worden getraind op datasets die hun eigen licenties hebben. De organisaties van vandaag moeten zich bewust zijn van het intellectuele eigendom (IP) dat door modellen wordt gebruikt, en van copyrightvoorwaarden, benadrukte Apostolopoulos.
“Een belangrijk aspect is hoe vergelijkbaar en verschillend deze LLM’s zijn van traditionele open source-afhankelijkheden”, zei hij. Hoewel ze allebei externe bronnen binnenhalen, zijn LLM’s krachtiger, groter en bestaan ze uit binaire gegevens.
Open source-afhankelijkheden krijgen ‘updates en updates en updates’, terwijl AI-modellen ‘redelijk statisch’ zijn. Als ze worden bijgewerkt, ‘raak je ze waarschijnlijk niet meer aan’, zegt Apostolopoulos.
“LLM’s zijn slechts een aantal cijfers”, zei hij. “Ze zijn veel complexer om te evalueren.”
