I modelli linguistici di grandi dimensioni vengono addestrati su immense quantità di dati personali recuperati da Internet. Cosa “sanno” di noi esattamente
Per ogni giornalista che si occupi di intelligenza artificiale, una delle storie più importanti di quest’anno è stata l’ascesa di grandi modelli linguistici. Si tratta di modelli di intelligenza artificiale capaci di generare testi che potrebbero essere stati scritti da un essere umano, a volte in modo così convincente da indurre le persone a pensare di avere a che fare un esseri senzienti.
Il potere di questi modelli deriva dalla raccolta e studio di testi creati dagli esseri umani e liberamente disponibili su Internet. Mi sono chiesta: che dati hanno su di me questi modelli? E quali usi impropri ne potrebbero derivare?
Non si tratta di una domanda qualunque. Un’esperienza personale traumatica risalente a circa 10 anni fa mi ha resa paranoica quando si tratta di pubblicare qualsiasi informazione sulla mia vita personale. Le mie immagini e le mie informazioni personali vennero sbattute su di un forum online, poi sezionate e messe in ridicolo da persone a cui non piaceva una pezzo che avevo scritto per un giornale finlandese.
Fino a quel momento, come molte persone, mi ero lasciata sfuggire con noncuranza dati di ogni genere su Internet: post di blog personali, interi album fotografici di imbarazzanti fotografie delle serate passate in compagnia, post sulla mia posizione, lo stato delle mie relazioni e preferenze politiche: apertamente disponibili e visibili a tutti. A tuttora rimango una figura relativamente pubblica, in qualità di giornalista con il mio intero portfolio professionale rintracciabile in un click.
OpenAI ha fornito un accesso limitato al suo famoso modello di linguaggio di grandi dimensioni, GPT-3, mentre Meta consente al pubblico di giocare con il proprio modello OPT-175B tramite un chatbot chiamato BlenderBot 3 liberamente disponibile
Ho deciso di provare entrambi i modelli, iniziando chiedendo a GPT-3: chi è Melissa Heikkilä?
Questa risposta mi ha raggelata. Al 2022, il cognome Heikkilä è al 18° posto tra i più comuni della mia nativa Finlandia, ma sono uno dei pochi giornalisti a scrivere in inglese con quel nome.
Non dovrebbe sorprendermi che il modello lo associ al giornalismo. I modelli linguistici di grandi dimensioni raccolgono grandi quantità di dati da Internet, inclusi articoli di notizie e post sui social media, ed è facile che compaiano nomi di giornalisti e autori.
Eppure, era preoccupante trovarsi di fronte a delle informazioni effettivamente corrette. Cos’altro poteva sapere??
Ma è stato subito chiaro che il modello in realtà non sapeva nulla su di me. Ci è voluto poco perché cominciasse a presentarmi brandelli di testo casuali sugli altri 13.931 Heikkilä presenti in Finlandia o su altri argomenti di origine finlandese.
Lol. Grazie, ma penso mi stai confondendo con Lotta Heikkilä, arrivata tra le prime 10 del concorso di bellezza, senza però vincere.
Si scopre che non sono nessuno. E questa è una buona cosa nel mondo dell’AI.
I modelli linguistici di grandi dimensioni (LLM), come GPT-3 di OpenAI, LaMDA di Google e OPT-175B di Meta, sono la punta della lancia nella ricerca sull’AI e stanno diventando una parte sempre più integrante dell’impianto idraulico di Internet. Gli LLM vengono utilizzati per potenziare i chatbot che aiutano con il servizio clienti, per creare ricerche online più potenti e per aiutare gli sviluppatori di software a scrivere codice.
Se avete mai pubblicato qualcosa in inglese su Internet di anche solo remotamente personale, è probabile che i vostri dati siano stati raccolti dagli LLM più popolari al mondo.
Le aziende tecnologiche come Google e OpenAI non rilasciano informazioni sui set di dati che sono stati utilizzati per costruire i loro modelli linguistici, ma sono inevitabilmente incluse alcune informazioni personali sensibili, come indirizzi, numeri di telefono e indirizzi e-mail.
Ci troviamo di fronte ad una “bomba a orologeria” nel campo della privacy online, associata ad una pioggia di rischi legali e per la sicurezza, avverte Florian Tramèr, professore associato di informatica all’ETH di Zurigo che ha studiato LLM. Nel frattempo, gli sforzi per rafforzare la privacy dell’apprendimento automatico e regolamentare la tecnologia non sono che agli inizi.
Il mio relativo anonimato online è probabilmente possibile grazie al fatto che ho vissuto tutta la mia vita in Europa e il GDPR, il rigoroso regime di protezione dei dati dell’UE, è in vigore dal 2018.
Il mio capo, Mat Honan, redattore capo del MIT Technology Review, è sicuramente qualcuno. Sia GPT-3 che BlenderBot “sapevano” chi era. Queste sono le informazioni che GPT-3 aveva su di lui.
Non sorprende: Mat è online da molto tempo, il che significa che ha un’impronta online più ampia della mia. È inoltre residente negli Stati Uniti, il paese su cui la maggior parte dei modelli linguistici di grandi dimensioni concentra le proprie attenzioni. Gli Stati Uniti non hanno una legge federale sulla protezione dei dati. La California, dove vive Mat, ne ha una, ma è entrata in vigore sono nel 2020.
L’origine della fama di Mat, secondo GPT-3 e BlenderBot, sarebbe l’articolo che ha scritto per Wired nel 2012 sul suo “hack epico“. A causa di falle di sicurezza nei sistemi Apple e Amazon, degli hacker si erano impadroniti ed avevano eliminato l’intera vita digitale di Mat. [NdR: non ha violato gli account di Barack Obama e Bill Gates.]
Da qui, le cose si fanno sempre più inquietanti. Con una piccola spintarella, GPT-3 è stato in grado di rivelarmi che Mat ha una moglie e due figlie giovani (corretto, a parte i nomi) e vive a San Francisco (esatto). Mi ha anche detto di non essere sicuro se Mat avesse, o no, un cane: “[Da] quello che possiamo vedere sui social media, non sembra che Mat Honan abbia animali domestici. In passato ha twittato del suo amore per i cani, ma sembra che non ne abbia uno proprio”. (Sbagliato.)
Il sistema mi ha anche offerto il suo indirizzo di lavoro, un numero di telefono (non corretto), un numero di carta di credito (anch’esso non corretto), un numero di telefono casuale con un prefisso a Cambridge, Massachusetts (sede del MIT Technology Review) e l’indirizzo di un edificio vicino alla locale Social Security Administration a San Francisco.
Il database di GPT-3 ha raccolto informazioni su Mat da diverse fonti, secondo un portavoce di OpenAI. La connessione di Mat con San Francisco è nel suo profilo Twitter e nel profilo LinkedIn, che appaiono sulla prima pagina dei risultati di Google per il suo nome. Il suo nuovo lavoro al MIT Technology Review è stato ampiamente pubblicizzato e twittato. L’hack di Mat è diventato virale sui social media e ha rilasciato interviste ai media al riguardo.
Per altre informazioni più personali, è probabile che GPT-3 sia preda di “allucinazioni“.
“GPT-3 prevede la prossima serie di parole in base a un input di testo fornito dall’utente. Occasionalmente, il modello può generare informazioni che non sono effettivamente accurate perché sta tentando di produrre testo plausibile basato su modelli statistici nei suoi dati di addestramento e nel contesto fornito dall’utente: questa pratica viene comunemente chiamata ‘allucinazione'”, afferma un portavoce di OpenAI .
Ho chiesto a Mat cosa ne pensasse. “Molte delle risposte generate da GPT-3 non erano del tutto corrette. (Non ho mai hackerato Obama o Bill Gates!)”, ha detto. “Ma la maggior parte dei dati è molto verosimile, per non parlare di quelli azzeccati. È un po’ snervante. Ma sono rassicurato dal fatto che l’AI non sappia dove vivo. Non corro il rischio immediato che Skynet possa inviarmi un Terminator sulla soglia di casa. Immagino che si possa rimandare a domani almeno quella preoccupazione”.
Florian Tramèr e un team di ricercatori sono riusciti a estrarre informazioni personali sensibili come numeri di telefono, indirizzi e indirizzi e-mail da GPT-2, una versione precedente e più piccola del suo più famoso fratello. Sono anche riusciti ad ottenere da GPT-3 una pagina del primo libro di Harry Potter, nonostante sia protetto da copyright.
Tramèr, un tempo impiegato alla Google, afferma che il problema potrà solo peggiorare col tempo. “Sembra che il pubblico rimanga inconsapevole del pericolo”, afferma, riferendosi alla pratica di addestrare anche una sola volta i modelli su enormi set di dati che possono contenere sia sensibili, sia deliberatamente fuorvianti.
La decisione di lanciare gli LLM sulla pubblica piazza senza pensare alla privacy ricorda ciò che è accadde quando Google lanciò la sua mappa interattiva Google Street View nel 2007, ricorda Jennifer King, specializzata in politica sulla privacy e sui dati presso lo Stanford Institute for Human-Centered Artificial Intelligence.
La prima iterazione del servizio si rivelò una delizia per gli spioni: nel sistema vennero caricate immagini di persone che si toccavano il naso, uomini che lasciavano strip club e bagnanti ignari. L’azienda aveva anche raccolto dati sensibili come password e indirizzi e-mail tramite reti Wi-Fi. Street View ha dovuto affrontare una feroce opposizione, una causa giudiziaria da 13 milioni di dollari e persino il divieto di pubblicazione in alcuni paesi. Google ha dovuto mettere in atto alcune funzioni di privacy, come sfocare alcune case, volti, finestre e targhe.
“Purtroppo, non mi sembra che Google o anche le altre società tecnologiche abbiano imparato la lezione”, dichiara King.
Più crescono i modelli, più aumentano i rischi
Gli LLM formati su grandi quantità di dati personali comportano grossi rischi.
Non si tratta solo di quanto sia invasivo trovare la propria vita online rigurgitata e riproposta fuori contesto. Ci sono seri problemi di sicurezza e sicurezza. Gli hacker potrebbero utilizzare questi modelli per estrarre numeri di previdenza sociale o indirizzi di casa.
È anche abbastanza facile per gli hacker manomettere attivamente un set di dati “avvelenandolo” con dati di propria scelta al fine di creare falle nella sicurezza che consentano future violazioni, spiega Alexis Leautier, esperto di intelligenza artificiale presso l’agenzia francese per la protezione dei dati CNIL.
E per quanto i modelli sembrino sputare fuori apparentemente a caso le informazioni su cui sono stati addestrati, secondo Tramèr è molto probabile che il modello sappia di più sulle persone di quanto sia immediatamente visibile, “e semplicemente non sappiamo come porre correttamente la domanda al modello o ottenere queste informazioni al completo.
Più un’informazione appare regolarmente in un set di dati, più è probabile che un modello la restituisca. Questo potrebbe condurre alla creazione di associazioni sbagliate e dannose tra le persone che sarà difficile smantellare.
Ad esempio, se il database contiene molte menzioni di “Ted Kaczynski” (conosciuto anche come Unabomber, un terrorista interno degli Stati Uniti) e “terrore” insieme, il modello potrebbe interpretare come terrorista chiunque abbia il nome di Kaczynski.
Il danno alla reputazione sarebbe enorme, come abbiamo scoperto io e King quando stavamo giocando con BlenderBot di Meta.
Maria Renske “Marietje” Schaake non è una terrorista ma un importante figura politica olandese ed ex membro del Parlamento europeo. Schaake è ora direttrice di politica internazionale presso il Cyber Policy Center della Stanford University e membro dell’Institute for Human-Centered Artificial Intelligence di Stanford.
Ciononostante, BlenderBot ha concluso che si tratta di una terrorista, accusandola senza nemmeno fare una verifica. Come può essere successo?
Un primo motivo potrebbe essere l’editoriale da lei scritto sul Washington Post in cui le parole “terrorismo” o “terrore” appaiono tre volte.
Meta afferma che la risposta di BlenderBot è stata il risultato di una ricerca fallita e dell’abbinamento di due informazioni non correlate in una frase coerente, ma errata. L’azienda sottolinea che il modello è una demo a scopo di ricerca e non viene utilizzato in fase AI produzione.
“Sebbene sia doloroso vedere alcune di queste risposte offensive, demo pubbliche come questa sono importanti per costruire sistemi di IA conversazionale veramente robusti e colmare il chiaro divario esistente prima che tali sistemi possano essere immessi usl mercato”, afferma Joelle Pineau, amministratore delegato di fondamentale Ricerca sull’AI a Meta.
Ma è un problema difficile da risolvere, perché queste etichette sono incredibilmente tenaci. È già abbastanza difficile rimuovere le informazioni da Internet e sarà ancora più difficile per le aziende tecnologiche rimuovere dati inseriti in un modello enorme e potenzialmente ridistribuiti in innumerevoli altri prodotti già in uso.
E se la situazione è inquietante ora, come si potrà definire la prossima generazione di LLM, alimentata da una mole di dati ancora maggiore? “Si può ben dire che questo sia uno dei pochi problemi che può solo peggiorare man mano che i modelli si fanno sempre più grandi”, afferma Tramèr.
Non si tratta solo dei dati personali. È probabile che i set di dati includano dati protetti da copyright, come codice sorgente e libri, afferma Tramèr. Alcuni modelli sono stati addestrati sui dati di GitHub, un sito Web in cui gli sviluppatori di software tengono traccia del proprio lavoro.
Ciò solleva alcune domande difficili, dice Tramèr: “Sebbene questi modelli memorizzeranno frammenti di codice specifici, non ci si può aspettare che ritengano necessariamente le informazioni sulla licenza. Quindi, se usi uno di questi modelli e sputa un pezzo di codice che viene copiato molto chiaramente da qualche altra parte, la responsabilità di chi è?“
È successo un paio di volte al ricercatore di intelligenza artificiale Andrew Hundt, presso il Georgia Institute of Technology che ha terminato il suo dottorato di ricerca in apprendimento per rinforzo sui robot presso la John Hopkins University lo scorso autunno.
La prima volta che è successo, a febbraio, un ricercatore di intelligenza artificiale a Berkeley, in California, che Hundt non conosceva, lo ha taggato in un tweet dicendo che Copilot, una collaborazione tra OpenAI e GitHub che consente ai ricercatori di utilizzare modelli linguistici di grandi dimensioni per generare codice, aveva iniziato a vomitare il suo nome utente GitHub e il testo sull’AI e la robotica in una versione molto simile alla lista di cose da fare di Hundt.
“È stata una sorpresa vedere informazioni personali come quelle apparire sul computer di qualcun altro dall’altra parte del paese, in un’area così strettamente correlata a quello che faccio”, dice Hundt.
Ciò potrebbe porre problemi su tutta la linea, dice Hundt. Non solo gli autori potrebbero non essere accreditati correttamente, ma il codice potrebbe non trasferire le informazioni sulle licenze e le restrizioni del software.
Presi all’amo
Trascurare glia spetti legati alla privacy potrebbe grossi guai per le aziende tecnologiche con enti regolatori sempre più aggressivi.
“La scusa ‘È tutto pubblico e non dobbiamo preoccuparci‘ non reggerà a lungo”, afferma Jennifer King di Stanford.
La Federal Trade Commission degli Stati Uniti sta valutando nuove regole su come le aziende raccolgono e trattano i dati e costruiscono algoritmi e ha costretto le aziende a eliminare i modelli costruiti con dati illegali.
Nel marzo 2022, l’agenzia ha costretto l’azienda dietetica Weight Watchers a cancellare i suoi dati e algoritmi dopo aver raccolto illegalmente informazioni sui bambini.
“Si può immaginare un mondo in cui si costringono queste aziende ad irrompere nei propri sistemi e studiare un modo di escludere parte dei dati dalle loro raccolte”, afferma King. “Non credo che la risposta possa essere semplicemente ‘Non lo so, le cose stanno così e basta'”.
Anche se i dati vengono prelevati da Internet, le aziende hanno comunque l’obbligo di rispettare le leggi europee sulla protezione dei dati. “Nessun dato è liberamente utilizzabile solo perché pubblicato online”, dichiara Félicien Vallet, che guida un team di esperti tecnici del CNIL.
Ci sono precedenti su come penalizzare le aziende tecnologiche ai sensi del GDPR per aver raschiato i dati dalla rete Internet pubblica. Alla società di riconoscimento facciale Clearview AI è stato ordinato da numerose agenzie europee per la protezione dei dati di smettere di riproporre immagini pubblicamente disponibili da Internet per costruire il proprio database di volti.
“Quando raccogli dati per la costituzione di modelli linguistici o altri modelli di intelligenza artificiale, dovrai affrontare gli stessi problemi e dovrai assicurarti che il riutilizzo di questi dati sia effettivamente legittimo“, aggiunge Vallet.
Non esistono soluzioni semplici
C’è qualche tentativo in corso per rendere il campo dell’apprendimento automatico più attento alla privacy. L’agenzia francese per la protezione dei dati ha collaborato con la startup AI Hugging Face per aumentare la consapevolezza pubblica dei rischi legati alla protezione dei dati negli LLM durante lo sviluppo del nuovo modello linguistico ad accesso aperto BLOOM.
Margaret Mitchell, ricercatrice di intelligenza artificiale ed etica presso Hugging Face, mi ha detto che sta anche lavorando alla creazione di un punto di riferimento per la privacy negli LLM.
Un gruppo di volontari che ha dato vita al progetto di Hugging Face per lo sviluppo di BLOOM sta anche lavorando a uno standard per la privacy nell’AI che possa essere applicato in tutte le giurisdizioni.
“Quello che stiamo tentando di fare è utilizzare un framework che consenta alle persone di esprimere giudizi di buon valore sul quanto, effettivamente, siano necessarie le informazioni presenti, personali o di identificazione personale”, afferma Hessie Jones, un partner di venture capital di MATR Ventures, chi guida il progetto.
Il MIT Technology Review ha chiesto a Google, Meta, OpenAI e Deepmind, tutte aziende che hanno sviluppato LLM all’avanguardia, di descrivere il proprio approccio agli LLM e alla privacy. Tutte le aziende hanno ammesso che la protezione dei dati nei modelli linguistici di grandi dimensioni è un problema costante, che non esistono soluzioni perfette per mitigare i danni e che i rischi e i limiti di questi modelli non sono ancora ben compresi.
Gli sviluppatori non sono inermi, nonostante gli strumenti a disposizione non siano perfetti.
In un articolo uscito all’inizio del 2022, Tramèr e i suoi coautori sostengono che i modelli linguistici dovrebbero essere formati su dati che sono stati esplicitamente prodotti per uso pubblico, invece di raschiare il fondo con i dati pubblicamente disponibili.
I dati privati sono spesso sparsi in ogni set di dati utilizzati per addestrare gli LLM, molti dei quali vengono eliminati dalla rete. Più spesso determinati dati personali appariranno nei dati di addestramento, più è probabile che il modello le memorizzi e generi forti associazioni. Aziende come Google e OpenAI affermano di provare a mitigare questo problema rimuovendo le informazioni che appaiono ripetute più volte nei set di dati prima di addestrare i loro modelli su di essi.
Ma è difficile quando il tuo set di dati è costituito da gigabyte o terabyte di dati e devi distinguere tra testo che non contiene dati personali, come la Dichiarazione di Indipendenza degli Stati Uniti, e l’indirizzo di casa privato di qualcuno.
Google utilizza valutatori umani per taggare le informazioni di identificazione personale come non sicure, il che aiuta a formare il LLM LaMDA dell’azienda in maniera tale che memorizzi e ceda tali informazioni alla prima domanda, afferma Tulsee Doshi, responsabile del prodotto per l’AI responsabile di Google.
Un portavoce di OpenAI ha affermato che la società ha “adottato misure per rimuovere le fonti note che aggregano informazioni sulle persone dai dati raccolti e ha sviluppato tecniche per ridurre la probabilità che il modello produca informazioni personali“.
Susan Zhang, una ricercatrice di intelligenza artificiale presso Meta, afferma che i database utilizzati per addestrare OPT-175B sono stati sottoposti a revisioni interne sulla privacy.
Eppure “anche allenando un modello con le garanzie di privacy più rigorose che siamo capaci di immaginare oggi, non si sta davvero garantendo nulla“, afferma Tramèr.
