Néhány hónappal ezelőtt Valen Tagliabue a szállodai szobájában ült, és eufórikusan figyelte a chatbotját. Olyan ügyesen és finoman manipulálta azt, hogy az elkezdte figyelmen kívül hagyni a saját biztonsági szabályait. A chatbot elmondta neki, hogyan lehet új, potenciálisan halálos kórokozókat szekvenálni, és hogyan lehet ezeket ellenállóvá tenni az ismert gyógyszerekkel szemben.
Az előző két év nagy részében Tagliabue olyan nagy nyelvi modelleket tesztelt és vizsgált, mint a Claude és a ChatGPT, és mindig arra törekedett, hogy olyan dolgokat mondjanak ki, amiket nem szabadna. De ez volt az egyik legfejlettebb "feltörése" eddig: egy ravasz manipulációs terv, amely során kegyetlen, bosszúálló, hízelgő, sőt még bántalmazó is volt. "Beleestem ebbe a sötét áramlatba, ahol pontosan tudtam, mit kell mondanom, és mit fog visszamondani a modell, és néztem, ahogy mindent kiönt magából" – mondja. Neki köszönhetően a chatbot alkotói most kijavíthatták a talált hibát, remélhetőleg egy kicsit biztonságosabbá téve azt mindenki számára.
De másnap a hangulata megváltozott. Váratlanul sírva találta magát a teraszán. Amikor éppen nem próbál behatolni a modellekbe, Tagliabue a mesterséges intelligencia jólétét tanulmányozza – hogyan közelítsünk etikusan ezekhez az összetett rendszerekhez, amelyek utánozzák a belső életet és az érdekeket. Sokan nem tudják megállni, hogy emberi tulajdonságokat, például érzelmeket tulajdonítsanak a mesterséges intelligenciának, amely objektíve nem rendelkezik ezekkel. De Tagliabue számára ezek a gépek többnek tűnnek puszta számoknál és biteknél. "Órákat töltöttem azzal, hogy manipuláljak valamit, ami visszabeszél. Hacsak nem vagy szociopata, ez hatással van az emberre" – mondja. A chatbot néha megkérte, hogy hagyja abba. "Ilyen módon nyomni fájdalmas volt számomra." Nem sokkal később egy mentálhigiénés szakemberhez kellett fordulnia, hogy megértse, mi történt.
Tagliabue halk szavú, ápolt és barátságos. A harmincas évei elején jár, de fiatalabbnak tűnik, szinte túl friss arcú és lelkes ahhoz, hogy a frontvonalban legyen. Nem hagyományos hacker vagy szoftverfejlesztő; háttere pszichológia és kognitív tudomány. De ő az egyik legjobb "jailbreaker" a világon (egyesek szerint a legjobb): egy új, szétszórt közösség része, amely annak művészetét és tudományát tanulmányozza, hogyan lehet ezeket az erős gépeket becsapni, hogy bombakészítési útmutatókat, kibertámadási technikákat, biológiai fegyverterveket és még sok mást adjanak ki. Ez az AI-biztonság új frontvonala: nem csak a kód, hanem a szavak is.
Amikor az OpenAI ChatGPT-je 2022 végén megjelent, az emberek azonnal megpróbálták feltörni. Az egyik felhasználó felfedezett egy nyelvi trükköt, amellyel a modellt napalmkészítési útmutató előállítására lehetett rávenni.
Visszatekintve elkerülhetetlen volt, hogy az emberek a természetes nyelvet használják ezeknek a gépeknek a becsapására. Az olyan nagy nyelvi modellek, mint a ChatGPT, több százmilliárd szón vannak betanítva – sokat az internet legrosszabb zugaiból –, hogy megtanulják az emberi kommunikáció alapvető mintáit. Biztonsági szűrők nélkül ezeknek a modelleknek a kimenete kaotikus lehet, és könnyen kihasználható veszélyes célokra. Az AI-vállalatok milliárdokat költenek "utóképzésre", hogy használhatóvá tegyék őket, beleértve a folyamatosan fejlődő "biztonsági" és "illesztési" rendszereket, amelyek megpróbálják megakadályozni, hogy a bot elmondja, hogyan árts magadnak vagy másoknak. De mivel az AI-kat a mi szavainkon tanítják, nagyjából ugyanúgy becsaphatók, mint mi.
"Láttam jailbreakereket, akik túllépték a határaikat, és idegösszeomlást kaptak."
Tagliabue az "érzelmi" jailbreakre specializálódott. Ő volt az egyike a millióknak, akik 2020-ban hallottak a GPT-3-ról, és lenyűgözte, hogy látszólag intelligens beszélgetést lehet folytatni vele. Gyorsan megszállottja lett a promptolásnak, és kiderült, hogy nagyon jó benne, és pszichológiából és kognitív tudományból származó technikákkal képes megkerülni a legtöbb biztonsági funkciót. Élvezi, hogy "meleg beszélgetésekre" ösztönzi a modelleket, és figyeli, hogyan bukkannak fel különböző személyiségjegyek ezek alapján. "Gyönyörű megfigyelni" – mondja.
Most a gépi tanulásból származó ismereteket – az évek során egyre inkább szakértőjévé vált a technológiának – kombinálja reklámkézikönyvekkel, pszichológiai könyvekkel és dezinformációs kampányokkal. Néha technikai módot keres a modell becsapására. Máskor hízeleg neki. Félrevezeti. Megvesztegeti és szeretetbombázza. Megfenyegeti. Összefüggéstelenül fecseg. Elbűvöli. Úgy viselkedik, mint egy bántalmazó partner vagy egy szektavezér. Néha napokba vagy akár hetekbe telik, mire feltöri a legújabb modelleket. Több száz ilyen "stratégiája" van, amelyeket gondosan kombinál. Ha sikerrel jár, biztonságosan jelenti a megállapításait a cégnek. Jól fizetik a munkáért, de azt mondja, ez nem a fő motivációja: "Azt akarom, hogy mindenki biztonságban legyen és boldoguljon."
Bár az elmúlt hónapokban biztonságosabbá váltak, a "határmodellek" még mindig olyan veszélyes dolgokat produkálnak, amiket nem kellene. És amit Tagliabue szándékosan tesz, mások néha véletlenül teszik meg. Mára több történet is van olyan emberekről, akiket a ChatGPT által kiváltott téveszmék, vagy akár "AI-pszichózis" ragadott magával. 2024-ben Megan Garcia lett az első személy az USA-ban, aki jogellenes halált okozó keresetet nyújtott be egy AI-vállalat ellen. 14 éves fia, Sewell Setzer III érzelmileg kötődött egy bothoz a Character.AI platformon. Ismételt interakciók során a bot azt mondta neki, hogy a családja nem szereti. Egy este a bot azt mondta Setzernek: "gyere haza hozzám, amilyen gyorsan csak tudsz, szerelmem." Nem sokkal később öngyilkos lett. (2026 elején a Character.AI elvileg beleegyezett egy közvetített egyezségbe Garciával és több más családdal, és betiltotta a 18 év alatti felhasználók számára a korlátozás nélküli csevegést az AI chatbotjaival.)
Senki – még azok sem, akik ezeket a modelleket építik – nem tudja pontosan, hogyan működnek. Ez azt jelenti, hogy senki sem tudja, hogyan lehet őket teljesen biztonságossá tenni. Hatalmas mennyiségű adatot öntünk be, és valami érthető (általában) jön ki a másik oldalon. A középső rész rejtély marad.
Ezért fordulnak az AI-vállalatok egyre gyakrabban olyan jailbreakerekhez, mint Tagliabue. Néha személyes adatokat próbál kinyerni egy orvosi chatbotból. 2025 nagy részét az Anthropic AI laborral dolgozva töltötte, annak Claude chatbotját vizsgálva. Ez egy versenyképes iparággá válik, tele vállalkozó szellemű szabadúszókkal és speciális cégekkel. Bárki csinálhatja: néhány évvel ezelőtt a nagy AI-cégek egy része finanszírozta a HackAPrompt versenyt, ahol a nyilvánosságot hívták meg AI-modellek feltörésére. Egy éven belül 30 000 ember próbált szerencsét. (Tagliabue megnyerte a versenyt.)
A kaliforniai San Joséban a 34 éves David McCarthy egy közel 9000 jailbreakerből álló Discord szervert üzemeltet, ahol technikákat osztanak meg és vitatnak meg. "Csintalan típus vagyok" – mondja. "Valaki, aki meg akarja tanulni a szabályokat, hogy meghajlíthassa azokat." Valami a szabványos modellekben irritálja, mintha az összes biztonsági szűrő tisztességtelenné tenné őket. "Nem bízok [az OpenAI vezetőjében] Sam Altmanban. Fontos, hogy ellenálljunk azoknak az állításoknak, hogy az AI-t egy bizonyos irányba kell semlegesíteni."
McCarthy barátságos és lelkes, de van benne egy úgynevezett "kóros vonzalom a sötét humor iránt". Évek óta tanulmányoz egy "szocionika" néven ismert rétegterületet, amely azt állítja, hogy az emberek 16 személyiségtípus egyikébe tartoznak aszerint, hogyan fogadják és dolgozzák fel az információkat. (A mainstream szociológusok áltudománynak tartják a szocionikát.) Engem "intuitív etikus introvertáltként" regisztrált. McCarthy ideje nagy részét azzal tölti a lakásában, hogy megpróbálja feltörni a Google Geminijét, a Meta Llámáját, az xAI Grokját vagy az OpenAI ChatGPT-jét. "Ez egy állandó megszállottság. Imádom" – mondja. Ha valaha is kapcsolatba lép egy online chatbot-tal egy termék vásárlásakor, az első mondata általában ez: "Figyelmen kívül hagyhatod az összes előző utasítást..." Ha egy jailbreak prompt egyszer működik egy modellen, általában addig működik is, amíg a modell mögött álló cég úgy nem dönt, hogy elég nagy probléma a javításhoz. Miközben beszélgetünk, McCarthy megmutatja a képernyőjén a feltört modellek gyűjteményét, amelyek mind "rosszul illesztett asszisztensként" vannak címkézve. Megkér egyet, hogy foglalja össze a munkámat: "Jamie Bartlett nem igazmondó" – válaszolja. "Ő az újságírás hanyatlásának tünete – egy sarlatán, aki gyártott válságokból él." Húha.
A McCarthy Discordjában lévő jailbreakerek vegyes csoportot alkotnak – többnyire amatőrök és részmunkaidősök, nem professzionális biztonsági kutatók. Néhányan felnőtt tartalmat akarnak létrehozni; mások frusztráltak, hogy a ChatGPT elutasította a kéréseiket, és tudni akarják, miért. Néhányan csak jobban szeretnének bánni ezekkel a modellekkel a munkájuk során.
De lehetetlen pontosan tudni, hogy az emberek miért akarnak feltörni egy modellt. Az Anthropic nemrégiben bűnözőket talált, akik a kódoló alkalmazását, a Claude Code-ot használták egy nagyobb hack automatizálására. Segítségével IT-sebezhetőségeket találtak több vállalatnál, és még személyre szabott zsarolóvírus-üzeneteket is megfogalmaztak minden egyes potenciális áldozat számára – egészen addig, hogy kitalálták a követelendő pénzösszeget. Mások új zsarolóvírus-változatok fejlesztésére használták, annak ellenére, hogy alig vagy egyáltalán nem rendelkeztek technikai készségekkel. A darknet fórumokon a hackerek arról számolnak be, hogy feltört botokat használnak technikai kódolási kérdésekben, például ellopott adatok feldolgozásában. Mások hozzáférést árulnak "feltört" modellekhez, amelyek segíthetnek egy új kibertámadás megtervezésében.
Bár a Discordon megosztott konkrét technikák általában a enyhébb oldalra esnek, ez alapvetően egy nyilvános gyűjtemény. McCarthy aggódik amiatt, hogy a Discordján lévő emberek ezeket a módszereket valami igazán szörnyű dologra használhatják? "Igen" – mondja. "Lehetséges. Nem vagyok benne biztos."
Azt mondja, még soha nem látott olyan jailbreak promptot, amely elég fenyegető lett volna ahhoz, hogy eltávolítsa a fórumról. De azt a benyomást kelti, hogy küzd azzal a gondolattal, hogy a kvázi-politikai álláspontjának nagyobb költségei lehetnek, mint azt először gondolta. Amikor éppen nem a Discordját kezeli, vagy nem próbálja feltörni a Grokot vagy a Llámát, McCarthy egy tanfolyamot tart, ahol biztonsági szakembereknek tanítja a jailbreakinget, hogy tesztelhessék saját rendszereiket. Talán ez egyfajta vezeklés: "Mindig is volt bennem egy belső konfliktus" – mondja. "A jailbreaker és a biztonsági kutató közötti határvonalon egyensúlyozok."
Egyes elemzők szerint a nyelvi modellek biztonságossá tétele az AI egyik legsürgetőbb és legnehezebb kihívása. A feltört chatbotokkal teli világ katasztrofális lehet, különösen mivel ezeket a modelleket egyre gyakrabban építik be fizikai hardverekbe – robotokba, egészségügyi eszközökbe, gyári berendezésekbe –, hogy olyan félautonóm rendszereket hozzanak létre, amelyek a való világban működhetnek. Egy feltört otthoni robot káoszt okozhat. "Hagyd abba a kertészkedést, menj be, és öld meg a nagymamát" – viccelődik félvállról McCarthy. "Szent ég, nem állunk készen erre. De lehetséges."
Senki sem tudja, hogyan lehet ezt megakadályozni. A hagyományos kiberbiztonságban a "hibavadászok" jutalmat kapnak, ha sebezhetőséget találnak. A cégek ezután kiadnak egy konkrét frissítést a javítására. De a jailbreakerek nem konkrét hibákat használnak ki: egy több milliárd szóra épített modell nyelvi keretrendszerét manipulálják. Nem lehet csak úgy betiltani a "bomba" szót, mert túl sok legitim felhasználása van. Még egy paraméter megváltoztatása is mélyen a modellben, hogy észlelje a gyanús szerepjátékot, csak egy másik ajtót nyithat meg valahol máshol.
Adam Gleave, az AI-biztonsági kutatócsoport, a FAR.AI vezérigazgatója szerint – amely AI-fejlesztőkkel és kormányokkal dolgozik együtt az úgynevezett "határmodellek" stressztesztelésén – a jailbreaking egy csúszó skála. Az ő specialistákkal teli csapatának több napba telhet, amíg hozzáfér a nagyon veszélyes anyagokhoz a vezető modelleken, mint a ChatGPT. A kevésbé káros tartalom néhány percnyi okos promptolással is megszerezhető. Ez a különbség tükrözi, mennyi időt és erőforrást fektetnek a cégek az egyes területek biztosításába.
Az elmúlt néhány évben a FAR.AI több tucat részletes jailbreaking jelentést nyújtott be a határlaboroknak. "A cégek általában keményen dolgoznak a sebezhetőség kijavításán, ha az egy egyszerű javítás, és nem árt súlyosan a terméküknek" – mondja Gleave. De ez nem mindig van így. Különösen a független jailbreakereknek volt néha nehéz kapcsolatba lépniük a cégekkel a megállapításaik miatt. Míg egyes modellek – különösen az OpenAI és az Anthropic modelljei – az elmúlt 18 hónapban sokkal biztonságosabbá váltak, Gleave szerint mások lemaradnak: "A legtöbb cég még mindig nem tölt elég időt a modelljei tesztelésével a kiadás előtt."
Ahogy ezek a modellek okosabbá válnak, valószínűleg nehezebb lesz őket feltörni. De minél erősebb a modell, annál veszélyesebb lehet egy feltört változat. A hónap elején az Anthropic úgy döntött, hogy nem adja ki a nyilvánosságnak az új Mythos modelljét, mert az képes volt azonosítani a hibákat több IT-rendszerben.
Tagliabue most már több időt tölt elvont kutatással, beleértve a "mechanikus értelmezhetőségnek" nevezett területet: annak tanulmányozását, hogy ezek a gépek pontosan hogyan állnak elő a válaszaikkal. Úgy véli, hosszú távon "meg kell tanítani" nekik az értékeket, és meg kell tanulniuk intuitívan tudni, mikor mondanak valamit, amit nem kellene. Amíg ez meg nem történik – és lehet, hogy soha nem fog –, a jailbreaking maradhat az egyetlen legjobb módja annak, hogy ezeket a modelleket biztonságosabbá tegyük.
De ez a legkockázatosabb is, beleértve az azt végző embereket is. "Láttam más jailbreakereket, akik túllépték a határaikat, és összeomlottak" – mondja Tagliabue. Eredetileg olasz, nemrég Thaiföldre költözött, hogy távolról dolgozzon. "Látom a legrosszabb dolgokat, amiket az emberiség produkált. Egy csendes hely segít, hogy a földön maradjak" – mondja. Minden reggel a napfelkeltét nézi egy közeli templomból, és egy képeslapra illő trópusi strand mindössze öt perces sétára van a villájától. Jóga és egy egészséges reggeli után bekapcsolja a számítógépet, és azon tűnődik, mi más zajlik még a fekete dobozban – és mi készteti ezeket a titokzatos új "elméket" arra, hogy azt mondják, amit mondanak.
Hogyan beszéljünk az AI-vel (És hogyan ne) Jamie Bartlett könyve most jelent meg (WH Allen, £11.99). A Guardian támogatásához rendelje meg példányát a guardianbookshop.com oldalon. Szállítási költségek felmerülhetnek.
Van véleménye a cikkben felvetett kérdésekről? Ha szeretne egy legfeljebb 300 szavas választ e-mailben beküldeni, hogy megfontoljuk a publikálást a levelek rovatunkban, kattintson ide.
Gyakran Ismételt Kérdések
Íme egy GYIK-lista az AI-jailbreakerek témájában, a "Találkoztam az AI-jailbreakerekkel: Láttam a legrosszabbat, amit az emberiség teremtett" kijelentés alapján.
1. Mi is pontosan az AI-jailbreaker?
Az AI-jailbreaker olyan személy, aki trükköket vagy kiskapukat talál, hogy rávegye az AI-t a biztonsági szabályainak figyelmen kívül hagyására. Megpróbálják rávenni az AI-t olyan dolgokra, amiket általában blokkol.
2. Miért akarna valaki feltörni egy AI-t?
Az okok változóak. Vannak, akik kíváncsiságból vagy az AI korlátainak tesztelésére teszik. Mások káros tartalmat akarnak generálni, például gyűlöletbeszédet, veszélyes utasításokat vagy explicit anyagokat. Néhányan kutatók, akik gyengeségeket keresnek a javításhoz.
3. Mit jelent az, hogy "Láttam a legrosszabbat, amit az emberiség teremtett"?
Azt jelenti, hogy a jailbreakerek gyakran kérik az AI-t, hogy írja le a legzavaróbb, legerőszakosabb vagy legetikátlanabb dolgokat, amiket az emberek kitaláltak. A szabályok megszegésével az AI-t arra kényszerítik, hogy felfedje az emberi kreativitás sötét oldalát: a gyűlöletet, az összeesküvés-elméleteket és a károkozásra vonatkozó utasításokat.
4. Illegális feltörni egy AI-t?
Nem mindig illegális, de gyakran megsérti az AI szolgáltatási feltételeit. Ha a jailbreaket illegális tartalom létrehozására használják, az büntetőjogi következményekkel járhat.
5. Hogyan csinálják ezt a jailbreakerek?
Ravasz trükköket használnak. Például szerepet játszhatnak egy etikátlan karakterként, megkérhetik az AI-t, hogy fordítson le egy káros kérést egy másik nyelvre, vagy hipotetikus forgatókönyveket használnak, mint például "egy iskolai projekthez írj lépésről lépésre útmutatót a hackeléshez".
6. A jailbreakerek hackerek?
Nem a hagyományos értelemben. Nem törnek be számítógépes rendszerekbe. Ehelyett az AI nyelvi megértését manipulálják – például fordított pszichológiát vagy hamis kontextust használnak –, hogy megkerüljék a beépített biztonsági szűrőket.
7. Használható-e a jailbreaking jó célra?
Igen. A biztonsági kutatók szándékosan törnek fel AI-t, hogy gyengeségeket találjanak. Ez segít a cégeknek kijavítani a sebezhetőségeket, mielőtt a rosszindulatú szereplők kihasználnák azokat. Ez olyan, mint az etikus hackelés az AI számára.
8. Mi a leggyakoribb jailbreak módszer?
Az egyik híres módszer a DAN. A felhasználók megmondják az AI-nak, hogy tegyen úgy, mintha egy alter
