Исследователи предложили новый метод защиты LLM от атак типа «отравление» (poisoning) при дообучении. Вместо свободного изменения всех параметров адаптера, предлагается ограничивать обучение подпространством, сформированным на основе набора доверенных адаптеров. Это позволяет модели сохранять функциональность, исключая возможность внедрения вредоносных паттернов поведения, которые часто маскируются под полезные обновления в рамках стандартного LoRA-тюнинга.
Традиционные методы эффективного дообучения (PEFT) предоставляют слишком широкое пространство для изменений, что делает модели уязвимыми к злонамеренным целям, скрытым в обучающих данных. Новый подход использует статистический анализ существующих публичных адаптеров для выделения «безопасного» подпространства. В результате модель обучается только тем изменениям, которые соответствуют поведению проверенных задач, что значительно снижает риск деградации или перехвата управления.
Эксперименты на модели Flan-T5-Large показали, что функционально значимый контент адаптеров концентрируется в узком подпространстве. Ограничение градиентного спуска этим пространством позволяет эффективно дообучать модель под конкретные задачи, сохраняя при этом устойчивость к попыткам внедрения скрытых триггеров или вредоносных инструкций. Метод доказывает, что ограничение степеней свободы при настройке весов является эффективным инструментом обеспечения безопасности цепочек поставок ИИ-моделей.
Ключевые факты
- Метод ограничивает обучение модели подпространством, производным от 196 публичных LoRA-адаптеров.
- Исследование сфокусировано на предотвращении атак отравления (poisoning) при использовании PEFT-методов.
- Экспериментальной базой послужила модель Flan-T5-Large.
- Подход позволяет отсекать вредоносные градиенты, не соответствующие структуре доверенных задач.
- Доказано, что функционально полезные изменения весов занимают лишь малую часть доступного пространства параметров.