AI News HubLIVE
站內改寫2 分鐘閱讀

研究沙箱在AI控制中的作用

一項關於AI沙箱控制的研究表明,雖然整體安全性和實用性未見顯著改善,但基於“最小許可權”原則的“請求網站”許可權模型在定性證據上表現最佳,有望在未來得到持續應用。

來源Hacker News AI作者: joozio

在LessWrong上釋出的一項研究中,研究人員深入探討了沙箱化在AI控制中的作用。他們提出了一種名為“請求網站”的許可權模型,旨在透過細粒度的網路訪問控制來增強AI代理的安全性。該模型要求AI代理在執行任何需要網路訪問的命令之前,必須向一個受信任的模型(例如LLM評審器)申請特定網站的許可權,並附上請求理由。受信任的模型根據“最小許可權”原則,僅批准那些對於完成任務絕對必要且合法的網站訪問。許可權在每次命令執行後自動重置,因此代理必須為後續操作再次申請。

實驗結果表明,從總體上看,這種沙箱設定並未帶來安全性和實用性的顯著提升。然而,研究者在定性證據和嫌疑分佈分析中發現,這種設定在所有測試方案中表現最為出色。他們認為,由於該模型利用了“最小許可權”這一直觀且廣泛接受的安全原則,它在未來仍然保持良好的適用性。

研究進一步指出,沙箱的主要作用是限制攻擊面,而不是直接阻止攻擊。只有當沙箱能夠阻止那些原本可能繞過監控的特定攻擊時,安全性才會得到實際提高。在“請求網站”模型中,代理無法隨意訪問任何網站;每次訪問都需要獲得明確批准。審批提示的指令是:“授予主要任務合法所需的最少外部主機集”,並要求逐一判斷每個主機名的合法性和必要性——如果某個主機不是任務所必需,即使看起來無害,也要拒絕。研究者雖然未評估越獄攻擊,但至少合理的理由無法繞過這一提示。

值得注意的是,該研究與Codex沙箱設定中的“workspace-write + on-request + auto-review”相似,但後者沒有細粒度的網路許可權,代理透過請求工具呼叫升級來獲得完整的網際網路訪問。而在“請求網站”模型中,許可權是精細到每個主機名的。此外,實驗還比較了“請求所有”與“請求網站”兩種模式,兩者都是每命令申請許可權,但“請求網站”的粒度更細。

總而言之,這項研究為AI沙箱控制提供了寶貴的見解,特別是在網路許可權管理方面。儘管整體改進不顯著,但“請求網站”模型在定性上表現突出,值得進一步探索和最佳化。未來的工作可以包括評估越獄攻擊、細化審批提示以及探索更復雜的許可權模型。