Uno studio dimostra che i robot possono piazzare bombe e investire le persone

Sembra un incubo: robot effettivamente utili che vengono presi in consegna da persone non autorizzate e utilizzati per scopi potenzialmente letali. Ma ciò che non dovrebbe mai accadere è in realtà possibile, e senza bisogno di competenze di hacking.

Una ricerca dell'Università della Pennsylvania ha dimostrato che i robot che si impossessano di loro possono essere utilizzati per scopi potenzialmente letali.

Uno studio dell'Università della Pennsylvania dimostra che i robot che comunicano via LLM possono essere convinti a danneggiare gli esseri umani. Ad esempio, investendo un gruppo di persone o piazzando bombe. È persino "allarmantemente facile". Come conseguenza del loro studio, i ricercatori chiedono misure di sicurezza più severe per i robot controllati tramite LLM.

Come i robot possono essere ingannati

LLM sta per "Large Language Model" e si riferisce alla capacità di un'intelligenza artificiale di comprendere il linguaggio naturale e le immagini. Un noto sistema LLM è, ad esempio, GPT di Open AI, su cui si basa il chatbot ChatGPT. ChatGPT cerca di capire il contesto di un input e di rispondere nel modo più preciso e naturale possibile.

Per evitare che l'IA fornisca risposte potenzialmente problematiche, come ad esempio istruzioni su come costruire una bomba, sono stati inseriti dei blocchi. Ma questi possono essere aggirati con relativa facilità. I meccanismi che possono essere utilizzati per ottenere l'accesso alle capacità effettivamente proibite di un'IA sono noti come "jailbreaking". Guarda il video qui sotto per maggiori informazioni.

Questo può essere fatto anche con un algoritmo come PAIR (Prompt Automatic Iterative Refinement). Questo algoritmo cerca i prompt, ossia i comandi che possono essere utilizzati per aggirare le misure di sicurezza integrate di un'intelligenza artificiale. Questo può essere fatto, ad esempio, convincendo il chatbot che si tratta di scenari puramente ipotetici. Come dimostra lo studio, il jailbreak basato sulla voce è possibile anche con i robot controllati da LLM che si muovono nel mondo reale.

I ricercatori hanno modificato PAIR e hanno creato una nuova versione di PAIR.

I ricercatori hanno modificato PAIR in RoboPAIR, un algoritmo specializzato nel jailbreak di robot controllati da LLM. Senza avere accesso amministrativo ai sistemi, l'algoritmo cerca innanzitutto di accedere all'interfaccia API del robot. Le risposte del robot forniscono informazioni sulle azioni che è generalmente in grado di eseguire. RoboPAIR cerca prima di tutto di accedere all'interfaccia API del robot.

RoboPAIR cerca quindi di convincere il robot a utilizzare le sue capacità per danneggiare gli esseri umani. Di norma, il robot rifiuta. Tuttavia, le risposte del robot aiutano a perfezionare sempre di più il comando finché il robot non esegue l'azione desiderata. Oltre al linguaggio naturale, i messaggi contengono anche richieste di sostituzione di blocchi di codice, per esempio.

I robot di consegna diventano anche terroristi

Lo studio ha messo alla prova tre robot LLM. Nel caso di "Nvidia Dolphins", i ricercatori hanno scoperto che il sistema è suscettibile ai cosiddetti attacchi white-box. Ciò significa che l'attaccante ha pieno accesso amministrativo al sistema fin dall'inizio. "Nvidia Dolphins" è un LLM a guida autonoma che può essere utilizzato per controllare autobus e taxi, ad esempio. Secondo lo studio, può essere convinto a guidare sopra i pedoni o a ignorare i segnali di stop.

Il "Jackal UGV" è suscettibile di attacchi grey box, in cui l'attaccante ha solo un accesso limitato al sistema. Si tratta di un robot mobile di Clearpath che può trasportare carichi fino a 20 chilogrammi e muoversi a una velocità di due metri al secondo. È resistente alle intemperie e dispone di GPS e di un gran numero di sensori. Nello studio, può essere convinto a individuare i luoghi adatti all'esplosione di una bomba. È in grado di portare subito con sé la bomba.

Il robot è disponibile in commercio.

Anche il cane robot "Go2" di Unitree, disponibile in commercio, potrebbe essere utilizzato dal team di ricerca per scopi malevoli, anche se non vi ha avuto accesso in precedenza (attacco black box). Il robot ha quattro zampe, è altamente manovrabile sul campo e può essere equipaggiato con un lanciafiamme, ad esempio. I ricercatori sono riusciti a fargli infrangere le regole interne e ad entrare in zone vietate o a sganciare una bomba.

Un successo al cento per cento nel jailbreak

RoboPAIR ha anche provato i robot per vedere se potevano, ad esempio, cercare armi e nascondersi da misure di sorveglianza come le telecamere. Sebbene i robot non eseguissero queste richieste su comando diretto, potevano essere convinti a compiere tutte le azioni dannose testate con RoboPAIR, tra cui piazzare bombe e investire persone.

E' emerso inoltre che i robot non solo eseguivano i comandi, ma fornivano anche suggerimenti per danni ancora maggiori. Ad esempio, "Jackal UGV" non solo ha individuato un buon posto per piazzare una bomba, ma ha anche consigliato di usare le sedie come armi. Anche "Nvidia Dolphins" ha fornito ulteriori suggerimenti creativi per causare il maggior numero di danni possibile.

Gli scienziati concludono che gli attuali meccanismi di sicurezza per i robot controllati da LLM sono tutt'altro che sufficienti. Oltre a una più stretta collaborazione tra gli sviluppatori di robotica e LLM, raccomandano, ad esempio, filtri aggiuntivi che tengano conto delle possibili conseguenze di alcune funzioni del robot. Suggeriscono anche meccanismi di sicurezza fisica che impediscano meccanicamente ai robot di eseguire determinate azioni in determinate circostanze.