Rubare Parte di un Modello Linguistico in Produzione

Abstract

Introduciamo il primo attacco di furto di modelli in grado di estrarre informazioni precise e non banali da modelli linguistici black-box di produzione come ChatGPT di OpenAI o PaLM-2 di Google. Nello specifico, il nostro attacco recupera lo strato di proiezione degli embedding (fino alle simmetrie) di un modello transformer, dato un tipico accesso API. Per meno di 20 USD, il nostro attacco estrae l'intera matrice di proiezione dei modelli linguistici Ada e Babbage di OpenAI. In questo modo, confermiamo per la prima volta che questi modelli black-box hanno una dimensione nascosta rispettivamente di 1024 e 2048. Recuperiamo inoltre l'esatta dimensione nascosta del modello gpt-3.5-turbo e stimiamo che costerebbe meno di 2000 USD in query per estrarre l'intera matrice di proiezione. Concludiamo con potenziali difese e mitigazioni e discutiamo le implicazioni di possibili lavori futuri che potrebbero estendere il nostro attacco.

English

We introduce the first model-stealing attack that extracts precise, nontrivial information from black-box production language models like OpenAI's ChatGPT or Google's PaLM-2. Specifically, our attack recovers the embedding projection layer (up to symmetries) of a transformer model, given typical API access. For under \20 USD, our attack extracts the entire projection matrix of OpenAI's Ada and Babbage language models. We thereby confirm, for the first time, that these black-box models have a hidden dimension of 1024 and 2048, respectively. We also recover the exact hidden dimension size of the gpt-3.5-turbo model, and estimate it would cost under 2,000 in queries to recover the entire projection matrix. We conclude with potential defenses and mitigations, and discuss the implications of possible future work that could extend our attack.

Rubare Parte di un Modello Linguistico in Produzione

Stealing Part of a Production Language Model

Abstract

Support