研究沙箱在AI控制中的作用
一项关于AI沙箱控制的研究表明,虽然整体安全性和实用性未见显著改善,但基于“最小权限”原则的“请求网站”权限模型在定性证据上表现最佳,有望在未来得到持续应用。
在LessWrong上发布的一项研究中,研究人员深入探讨了沙箱化在AI控制中的作用。他们提出了一种名为“请求网站”的权限模型,旨在通过细粒度的网络访问控制来增强AI代理的安全性。该模型要求AI代理在执行任何需要网络访问的命令之前,必须向一个受信任的模型(例如LLM评审器)申请特定网站的权限,并附上请求理由。受信任的模型根据“最小权限”原则,仅批准那些对于完成任务绝对必要且合法的网站访问。权限在每次命令执行后自动重置,因此代理必须为后续操作再次申请。
实验结果表明,从总体上看,这种沙箱设置并未带来安全性和实用性的显著提升。然而,研究者在定性证据和嫌疑分布分析中发现,这种设置在所有测试方案中表现最为出色。他们认为,由于该模型利用了“最小权限”这一直观且广泛接受的安全原则,它在未来仍然保持良好的适用性。
研究进一步指出,沙箱的主要作用是限制攻击面,而不是直接阻止攻击。只有当沙箱能够阻止那些原本可能绕过监控的特定攻击时,安全性才会得到实际提高。在“请求网站”模型中,代理无法随意访问任何网站;每次访问都需要获得明确批准。审批提示的指令是:“授予主要任务合法所需的最少外部主机集”,并要求逐一判断每个主机名的合法性和必要性——如果某个主机不是任务所必需,即使看起来无害,也要拒绝。研究者虽然未评估越狱攻击,但至少合理的理由无法绕过这一提示。
值得注意的是,该研究与Codex沙箱设置中的“workspace-write + on-request + auto-review”相似,但后者没有细粒度的网络权限,代理通过请求工具调用升级来获得完整的互联网访问。而在“请求网站”模型中,权限是精细到每个主机名的。此外,实验还比较了“请求所有”与“请求网站”两种模式,两者都是每命令申请权限,但“请求网站”的粒度更细。
总而言之,这项研究为AI沙箱控制提供了宝贵的见解,特别是在网络权限管理方面。尽管整体改进不显著,但“请求网站”模型在定性上表现突出,值得进一步探索和优化。未来的工作可以包括评估越狱攻击、细化审批提示以及探索更复杂的权限模型。