Захист генеративних моделей AI в Azure AI Foundry

💡 Усі статті, обговорення, новини про AI — в одному місці. Приєднуйтесь до AI спільноти!

Щотижня з’являються нові генеративні моделі ШІ з широким спектром можливостей. В світі швидких інновацій, вибираючи моделі штучного інтелекту для інтеграції у вашу систему, вкрай важливо зробити продуману оцінку ризиків, щоб забезпечити баланс між використанням нових досягнень і підтриманням надійної безпеки. У Microsoft зосереджені на тому, щоб зробити платформу розробки штучного інтелекту безпечним і надійним місцем, де можна впевнено досліджувати та впроваджувати інновації.

Тут ми поговоримо про одну ключових частин цього: як майкрософт захищає моделі та саме середовище виконання. Як захиститись від неякісної моделі, яка скомпрометує вашу систему штучного інтелекту, вашу хмару чи навіть власну інфраструктуру Microsoft?

Як Microsoft захищає дані та програмне забезпечення в системах ШІ

Але перш ніж ми приступимо до цього, дозвольте мені розвіяти одне дуже поширене неправильне уявлення про те, як дані використовуються в системах ШІ. Корпорація Майкрософт не використовує дані клієнтів для навчання спільних моделей, а також не надає доступ до ваших журналів чи вмісту постачальникам моделей. Продукти та платформи штучного інтелекту є частиною стандартних пропозицій продуктів, які підпадають під ті самі умови та межі довіри, яких ви очікуєте від Microsoft, а ваші вхідні та вихідні дані вважаються вмістом клієнта та обробляються з тим самим захистом, що й ваші документи та повідомлення електронної пошти. Пропозиції платформи штучного інтелекту ( Azure AI Foundry і Azure OpenAI Service ) на 100% розміщені корпорацією Майкрософт на її власних серверах без підключення до постачальників моделі під час виконання. Майкрософт пропонує деякі функції, як-от тонке налаштування моделі, які дозволяють використовувати ваші дані для створення кращих моделей для власного використання, але це ваші моделі, які залишаються у вашому середовищі.

Отже, звертаючись до безпеки моделі: перше, що потрібно пам’ятати, це те, що моделі — це лише програмне забезпечення, яке працює у віртуальних машинах Azure (VM) і доступ до якого здійснюється через API; вони не мають жодних магічних здібностей, щоб вирватися з цієї віртуальної машини, як і будь-яке інше програмне забезпечення, яке ви можете запустити у віртуальній машині. Azure вже достатньо захищений від програмного забезпечення, що працює у віртуальній машині, намагаючись атакувати інфраструктуру Microsoft — зловмисники намагаються робити це щодня, не потребуючи для цього штучного інтелекту, і AI Foundry успадковує всі ці засоби захисту. Це архітектура «нульової довіри»: служби Azure, які працюють на Azure, безпечні!

Тепер зловмисне програмне забезпечення можна приховати всередині моделі ШІ. Це може становити для вас небезпеку так само, як шкідливе програмне забезпечення в будь-якому іншому програмному забезпеченні з відкритим або закритим кодом. Щоб зменшити цей ризик, ми скануємо та тестуємо наші моделі з найвищою прискіпливістю перед випуском:

• Аналіз зловмисного програмного забезпечення : сканує моделі штучного інтелекту на наявність вбудованого зловмисного коду, який може служити вектором зараження та стартовою панеллю для зловмисного програмного забезпечення.

• Оцінка вразливості : сканування загальних вразливостей і ризиків (CVE) і вразливостей нульового дня, націлених на моделі ШІ.

• Виявлення бекдорів : сканує функціональні можливості моделі на наявність доказів атак на ланцюг постачання та бекдорів, таких як виконання довільного коду та мережеві виклики.

• Цілісність моделі : аналізує шари, компоненти та тензори моделі штучного інтелекту, щоб виявити втручання або пошкодження.

Ви можете визначити, які моделі були відскановані, за вказівкою на їхній картці моделі — щоб отримати цю перевагу, клієнту не потрібні додаткові дії. Для особливо помітних моделей, як-от DeepSeek R1 , Майкрософт йде ще далі й запрошує команди експертів розібрати програмне забезпечення — перевірити його вихідний код, досліджувати систему для пошуку будь-яких потенційних проблем перед випуском моделі. Цей вищий рівень сканування (ще) не має явного індикатора в картці моделі, але, враховуючи його публічність, в Майкрософт хотіли завершити сканування до того, як будуть готові елементи інтерфейсу користувача.

Захист і управління моделями ШІ

Звичайно, професіонали з безпеки, ймовірно, розуміють, що жодне сканування не може виявити всі зловмисні дії. Це та сама проблема, з якою стикається організація з будь-яким іншим стороннім програмним забезпеченням, і організації повинні вирішувати її у звичайний спосіб: довіра до цього програмного забезпечення має частково походити від довірених посередників, таких як Microsoft, але, перш за все, має ґрунтуватися на власній довірі (або відсутності такої) організації до свого постачальника.

Для тих, хто хоче більш безпечного досвіду, коли ви вибрали та розгорнули модель, ви можете використовувати повний набір продуктів безпеки Microsoft для захисту та керування нею. Докладніше про те, як це зробити, можна прочитати тут: Захист DeepSeek та інших систем ШІ за допомогою Microsoft Security .

І, звісно, ​​оскільки якість і поведінка кожної моделі відрізняються, ви повинні оцінювати будь-яку модель не лише з точки зору безпеки, а й з огляду на те, чи відповідає вона вашому конкретному випадку використання, перевіряючи її як частину вашої повної системи. Це частина ширшого підходу до захисту систем штучного інтелекту, до якого ми детально повернемося в наступному блозі.

Використання Microsoft Security для захисту моделей ШІ та даних клієнтів

Таким чином, ключовими моментами підходу до захисту моделей в Azure AI Foundry є:

1. Корпорація Майкрософт проводить різноманітні дослідження безпеки для ключових моделей штучного інтелекту, перш ніж розмістити їх у каталозі моделей Azure AI Foundry , і продовжує відстежувати зміни, які можуть вплинути на надійність кожної моделі для наших клієнтів. Ви можете використовувати інформацію на картці моделі, а також свою довіру (або її відсутність) до будь-якого конкретного конструктора моделей, щоб оцінити свою позицію щодо будь-якої моделі так само, як і для будь-якої сторонньої бібліотеки програмного забезпечення.

1. Усі моделі, розміщені в Azure, ізольовано в межах середовища клієнта. Немає доступу у постачальника моделі, включаючи близьких партнерів, таких як OpenAI.

1. Дані клієнта не використовуються для навчання моделей і не стають доступними за межами клієнта Azure (якщо клієнт не розробляє свою систему для цього).