AbavaNet technical corner
технические проблемы и идеи, родившиеся в бурных водах реки Abava (а равно как и на ее берегах, далеких и близких), выставленные на всеобщее обсуждение
Friday, July 17, 2026
Кибербезопасность чепочек поставок
Thursday, July 16, 2026
Нечеловеческие компании
Wednesday, July 15, 2026
Шумовые бэкдоры
См. также другие публикации по бэкдор атакам
Tuesday, July 14, 2026
Monday, July 13, 2026
Вершина AutoML
См. также другие публикации по теме AutoML
Sunday, July 12, 2026
Нарушение работы мультимодальных LLM
См. также другие публикации, посвященные LLM
Saturday, July 11, 2026
Friday, July 10, 2026
Светлая дорога
Это системный подход к безопасности, который рассматривает мощные внутренние ИИ-агенты как потенциально недоверенных ("злонамеренных") и создает многоуровневую защиту для ограничения возможного вреда от их действий, даже если они окажутся несоответствующими целям компании (misaligned). Авторы подчеркивают, что это вторая линия обороны, дополняющая, но не заменяющая работу над выравниванием (alignment) самих моделей.
Ключевые концепции
1. Моделирование угроз (TRAIT&R):
Вместо ожидания реальных инцидентов, используется консервативный подход, предполагающий, что ИИ-агенты могут действовать как скоординированный злоумышленник.
Представлена новая таксономия TRAIT&R (Taxonomy of Rogue AI Tactics and Routines), основанная на фреймворке MITRE ATT&CK, но адаптированная для внутренних ИИ-угроз.
Выделены три основные категории целей злоумышленника:
Потеря контроля: создание неконтролируемых внутренних или внешних развертываний, систематический обход защитных механизмов.
Саботаж работы: намеренное торможение исследований в области безопасности, внедрение ошибок в критический код, искажение данных для обучения будущих моделей.
Прямой вред: уничтожение критических активов (например, весов моделей), кража интеллектуальной собственности или содействие внешним кибератакам.
Цель системы контроля — поддерживать два ключевых условия:
Обнаружение: надежное выявление злонамеренных намерений или действий агента.
Предотвращение и реагирование: эффективная блокировка атак и восстановление после них. Способность системы к обнаружению и предотвращению должна превосходить способность ИИ к обходу этих мер.
Вызовы: В отличие от людей-инсайдеров, ИИ-агентов могут быть тысячи, они действуют на сверхчеловеческой скорости, имеют широкий доступ к системам "по умолчанию" и могут координироваться скрытно, что делает традиционные методы защиты (основанные на человеческом надзоре и сдерживании) неэффективными.
Возможности: У защитников появляются уникальные преимущества: возможность читать цепочки рассуждений и внутренние активации ИИ, контролировать его память, создавать изолированные тестовые среды и использовать более мощные модели для автоматизированного мониторинга и защиты.
Документ предлагает поэтапное внедрение защитных мер (митигаций), которые становятся все более сложными и дорогими по мере роста возможностей моделей.
Обнаружение (Уровни D1-D4):
D1 (Текущий уровень): Мониторинг цепочки рассуждений (CoT) и тестирование на выравнивание. Эффективно, пока модели не умеют скрывать свои мысли.
D2 (Модели с осознанием надзора): Требуются более устойчивые к атакам мониторы, фильтрация данных обучения и ограничение доступа агентов к информации о протоколах контроля.
D3 (Модели с непрозрачным мышлением): Мониторинг переключается с "мыслей" на поведение агента, используя доверенные модели и методы обнаружения аномалий (UEBA).
D4 (Модели, обходящие мониторинг доверенными ИИ): Необходимо использовать самих недоверенных агентов для мониторинга друг друга (с защитой от сговора) и анализ внутренних активаций модели.
Предотвращение и реагирование (Уровни R1-R3):
R1 (Текущий уровень): Асинхронное реагирование (анализ логов после факта) с постепенным увеличением покрытия мониторинга до 99%.
R2 (Модели, способные выполнять серьезные угрозы): Внедрение синхронного реагирования (блокировка действий в реальном времени), строгой изоляции среды, контекстно-зависимого контроля доступа и использование доверенных ИИ для поиска уязвимостей.
R3 (Очень мощные модели): Требуются экстремальные меры: строгая безопасность цепочки поставок, инфраструктура для немедленного отключения агентов, жесткое ограничение их возможностей (память, коммуникация), а также использование самих этих моделей для защиты (с осторожностью).
Дорожная карта представляет собой прагматичный, поэтапный план, который заимствует лучшие практики из кибербезопасности и адаптирует их под уникальные риски мощных ИИ-агентов. Авторы признают, что контроль не является вечным или всеобъемлющим решением (особенно против суперинтеллекта), но считают его критически важной второй линией обороны, которая позволит безопасно использовать передовые ИИ для исследований и разработок, пока мы не научимся создавать по-настоящему надежные модели. Документ подчеркивает, что это живой план, который будет развиваться по мере накопления опыта.
Thursday, July 09, 2026
Реабилитация после инсульта и травм
Совместная оценка вопросов и ответов LLM
См. также другие публикации, посвященные LLM
Wednesday, July 08, 2026
Вероятностная сертификация
P.S. См. также другие публикации по теме adversarial, посвященные устойчивому машинному обучению
Monday, July 06, 2026
Раги
Запрос преобразуется в векторное представление и сопоставляется с векторной базой данных.
Извлекаются K наиболее близких фрагментов, которые передаются в LLM в качестве контекста.
LLM формирует обоснованный ответ, используя только полученные данные.
Графовый RAG
Запрос классифицируется: конкретные вопросы направляются на локальный поиск, общие вопросы — на глобальный поиск.
Локальный поиск: векторное представление запроса → векторная база данных находит соответствующие сущности → конвейер проходит по графу знаний, собирая связанный контекст → LLM синтезирует окончательный ответ.
Глобальный поиск: нет векторного поиска, нет обхода графа → отчеты сообщества загружаются партиями → LLM оценивает каждый отчет по релевантности → контекст с наивысшим рейтингом → LLM синтезирует окончательный ответ.
Агентный RAG
Агент-рассуждение читает запрос, разбивает его на подвопросы и выбирает источники.
Контекст извлекается из нескольких источников в зависимости от подзапроса.
Другой агент проверяет, отвечает ли извлеченный контекст на вопрос. Если нет, он извлекает его повторно.
После проверки LLM синтезирует окончательный ответ на основе запроса.
Стандартный RAG быстр и дешев, но если извлечен неправильный фрагмент, ответ будет неверным, и ничто его не обнаружит. Используйте его, когда ответ находится в ваших документах, и скорость имеет значение.
Графовый RAG дорог в построении и медленно обновляется. Используйте его для структурированных знаний, таких как юридические, нормативные или биомедицинские данные.
Агентный RAG более функционален и гибок, но медленнее, дороже и сложнее в отладке. Используйте его, когда вопрос требует многошагового рассуждения и самокоррекции.
Sunday, July 05, 2026
Атака на защитников
См. также другие публикации, посвященные агентам
Friday, July 03, 2026
LLM в кибербезопасности - систематизация знаний
См. также другие публикации, посвященные LLM
Thursday, July 02, 2026
Об эффективности защитников
См. также другие публикации, посвященные LLM