Кудрин Евгений
Green Team
- 02.12.2025
- 11
- 2
Введение
Задача AI red teaming - проверить, выдержит ли система столкновение с реальностью: с действиями обычного пользователя, недоброжелателя, действующего вслепую, или внутреннего сотрудника на грани нервного срыва. Пока теоретики вычерчивают на досках безупречную архитектуру доверия, red team методично впускает хаос в выверенный пайплайн, чтобы увидеть, где и что пойдёт не так. Adversarial ML (состязательное машинное обучение) - это область знаний, изучающая поведение ML-моделей в условиях намеренно скомпрометированных входных данных, обучающих выборок или параметров.Цена ML-уязвимостей неприлично высока. С помощью prompt injection можно обойти ограничения и заставить модель генерировать вредоносный контент или раскрыть системные промпты. Атаки отравлением данных (data poisoning) калечат модель на этапе обучения - и тогда она начинает предвзято или неверно отвечать уже на продуктивных мощностях. Утечки через ответы (response leakage) выдают фрагменты обучающей выборки, в которой может быть персональные данные или коммерческая тайна. А подмена весов или нелегитимное влияние на LoRA-адаптеры открывают злоумышленнику полный контроль над поведением ИИ-системы.
Выстраивать защиту имеет смысл не только ради отражения реальных атак. Сегодня это ещё и прямой допуск к эксплуатации: соответствие регуляторным требованиям ФСТЭК становится обязательным условием для внедрения ИИ в госинформсистемы и смежные контуры. Без этого - ни заказчик, ни надзорный орган не дадут добро на промышленное использование модели.
Базовая рамка для российской терминологии и политики в области ИИ это указ Президента №490. Для ИБ особенно важны «доверенные технологии ИИ», включение ИБ в направления развития ИИ и идея межведомственной координации по безопасности ИИ. Главный практический документ 2025 года по безопасности ИИ для LLM-сервисов это
Ссылка скрыта от гостей
. Появление в конце 2025 года
Ссылка скрыта от гостей
(включая RAG и AI-агентов) - редкий случай, когда регулятор успевает за технологиями, значит на верхах есть понимание значимости ИИ.
Ссылка скрыта от гостей
от 25.11.2025, хоть и менее громкая, отлично дополняет 117-й приказ, детально раскрывая безопасность ИИ в своей области.AI red teaming - это не скучная аудиторская проверка с галочками, а вполне себе боевая дисциплина пентеста, заточенная под причуды машинного обучения. Её смысл простой: проверить на живом примере, удержит ли модель планку безопасности и адекватности, когда в неё целенаправленно летят подозрительные входы, контекст выворачивают наизнанку или пытаются вытянуть секреты. В отличие от голого threat modelling, где угрозы существуют на бумаге, red teaming выдаёт осязаемые артефакты: атаки, которые можно повторить, цифры, показывающие, насколько модель хрупка, и советы, которые не стыдно отдать разработчикам.
1. Модель угроз для AI (AI threat model)
Начнём с AI threat model. Это больше, чем просто не формальный перечень типов атак против ML-моделей, а систематизированная карта реальных и потенциальных уязвимостей, присущих процессам обучения, хостинга и эксплуатации модели. Отсутствие проработанной модели угрозl лишает red team методологической основы, превращая его деятельность в хаотичное зондирование системы, при котором непредсказуемость результатов не компенсируется субъективной динамикой процесса.В реальности модель угроз для ИИ не статична. Новая версия модели, изменение data pipeline, публикация открытых весов - всё это рикошетом расширяет перечень атакующих сценариев. Поэтому моделирование угроз превращается в живой документ, где угрозы вроде model stealing или poisoning переоцениваются при каждом релизе. Это процесс, а не отчёт, и да, он нужен не для “галочки в compliance”, а чтобы потом не ловить сюрпризы.
1.1. Таксономия Adversarial ML (Adversarial ML taxonomy)
Таксономию adversarial ML можно назвать каталогом типовых атак, систематизированных по целям и способам воздействия. Среди них - evasion attacks (атаки обхода), при которых входные данные модифицируются микроскопически, но результат работы модели становится критически неверным. Далее следуют data poisoning (отравление данных), inversion (восстановление исходной информации из модели) и extraction (копирование поведенческой логики модели, в том числе через открытый API). adversarial inputs (враждебные входные данные), model stealing (несанкционированное копирование модели) Все перечисленные угрозы - не гипотетические конструкции, а эмпирически подтверждённые и проверяемые практикой риски.Adversarial inputs представляют собой вполне реальную угрозу для промышленных систем, особенно в сценариях активного взаимодействия пользователя с моделью: LLM, рекомендательные системы, фильтры контента. Таксономия в данном случае служит не самоцелью, а инструментальной основой, позволяющей red team заблаговременно подобрать релевантный арсенал атак вместо хаотичного перебора методов.
1.2. Угрозы, специфичные для LLM
Когда речь заходит про большие языковые модели (LLM), появляются новые, довольно хитрые угрозы. LLM Jailbreak - это не взлом в классическом смысле, а попытка убедить модель игнорировать собственные правила. Prompt injection - внедрение чужих инструкций прямо в пользовательский ввод, менеджеры любят это называть “креативными запросами”, но red team-то знает, чем это кончается. Ещё один фаворит - output manipulation, когда злоумышленник мягко меняет контекст, заставляя модель “галлюцинировать” нужные факты.Угрозы, специфические для больших языковых моделей, представляют собой динамически изменяющуюся область. Каждое обновление модели трансформирует поверхность атаки: один цикл дообучения способен устранить одни уязвимости, но породить другие. Классическое моделирование угроз, выполняемое однократно, здесь неприменимо. Необходим динамический подход, сочетающий тестирование логики работы модели, проверки на предмет утечек данных и формирование состязательных запросов. В данном контексте деятельность red team по отношению к LLM ближе к разведывательной, нежели к аудиторской: ключевое значение приобретает не только выявление уязвимостей, но и анализ поведенческих особенностей модели.
2. Область тестирования и планирование (Scope и planning)
Без правильно заданной области тестирование red team в AI-проекте рискует напомнить собаку, гоняющуюся за лазерной указкой - весело, но смысла ноль. Scope definition (определение области тестирования) задаёт рамки: что именно ломаем - модель, приложение или целый пайплайн (pipeline). Если всё свалить в одну кучу, можно проморгать реальную точку атаки: утечка произошла не в модели, а в соседнем микросервисе, который отдаёт запросы в лог.Планирование (planning) в AI red teaming - это не бюрократия, а выживание. Без threat scenarios (сценариев угроз) тест превращается в бессмысленное тыканье. Нужен баланс: достаточно широкий, чтобы не упустить неожиданные дыры, но не настолько расплывчатый, чтобы тестировать “всё подряд”. Хороший scope - это карта, где видно, куда стоит копать и где лучше не трогать без разрешения product owner’а.
2.1. Model vs application vs pipeline
Когда кто-то говорит “мы протестировали AI”, первый вопрос - что именно? Модель, конечно, звучит по-научному, но в реальности половина проблем сидит вне самой модели. Model testing - это про robustness, poisoning, evasion, всё то, что ломает нейросетевой мозг. Application testing - чисто практическая история: API-ключи в логах, обход rate limit, несанкционированный доступ к ответам модели. А pipeline - вот где магия и бардак: версии датасетов, несанкционированные дообучения, leakage из data lake.Разделение “model vs application vs pipeline” не прихоть. Это способ не свалить весь проект в одну Excel-таблицу с колонкой “риски”. У каждой зоны - свои атакующие векторы и метрики успеха. Например, model может быть стойкой к adversarial inputs, но приложение отдаёт сырые логи с prompt’ами пользователей. Без этого разбиения результат red teaming-а будет красивым, но абсолютно бесполезным.
2.2. Сценарии угроз (Threat scenarios)
Сценарии угроз - это скелет всего red teaming-плана. Это не просто “атакуем, где получится”, а набор гипотез, что может пойти не так и кто захочет этим воспользоваться. Классические сценарии включают model stealing через публичный API, poisoning в процессе retraining, data exfiltration через невидимые токены или even manipulation в ответах LLM. Тут важно не количество сценариев, а качество - они должны быть реализуемыми, а не теоретическими страшилками из статей.Сила хорошего сценария в том, что он живой и проверяемый. После каждой итерации теста threat scenarios обновляются: какие методы сработали, какие провалились, где модель повела себя нестандартно. Это превращает red teaming из “кампании по аудиту” в постоянный цикл разведки. Если команда не обновляет сценарии после каждого релиза - можно смело считать, что тесты уже устарели, даже если модель ещё нет.
3. Тестирование на устойчивость к атакам (Adversarial robustness testing)
Если классический пентест - это про “сломать и радостно отчитаться”, то adversarial testing - про “сломать нейронку, а потом искренне понять, почему так вышло”. Вредители, с которыми приходится работать, не выкручивают болты, а накручивают пиксели - и всё, модель уже уверена, что банан это тостер. Robustness testing - это проверка на выживаемость модели, когда адаптивный противник (adaptive adversary) получает шанс сыграть по своим правилам.AI-модели, особенно те, что крутятся в проде, не живут в вакууме: их обрабатывает шум, ошибки данных, злонамеренные входы, а порой и творческий пользователь. Без проверки на evasion (обход защит) и perturbation (искажение входа) вся история с “безопасной моделью” - не более чем маркетинг. Red teaming здесь помогает отделить конкретные слабости от паранойи и понять, где реально стоит укрепить защиту, а где можно просто глубже вдохнуть и ничего не менять.
3.1. Evasion attacks
Evasion attacks - это квинтэссенция adversarial ML: атака без грубого взлома, где противник не ломает систему, а хитро обманывает модель. Чуть подмешал шум, заменил один токен в prompt - и вот уже классификатор уверен, что спам это любовное письмо, а LLM выдаёт ответ, от которого compliance-команда падает со стула. Это не магия, а математика: малые возмущения вектора признаков могут вызвать крупные когнитивные галлюцинации.Проверка evasion-стойкости - это не просто подкручивание epsilon в атаке FGSM или проработка adversarial inputs ради отчёта. Это скорее стресс-тест внимания: как модель реагирует, когда с ней общаются не так, как задумывал product manager. Исследование evasion показывает, насколько модель уязвима к предельно вероятной, тихой атаке. Ведь никто не будет тыкать модель кувалдой - слишком громко. Её сломают шёпотом.
3.2. Perturbation techniques
Perturbation techniques - это классика: добавляем к входу минимальный шум и наблюдаем, как модель уверенно идёт вразнос. Кто-то предпочитает численные искажения вроде PGD (Projected Gradient Descent), кто-то любит семантические подмены - меняем “good” на “decent” и проверяем, что LLM перестаёт слышать сарказм. Эти приёмы позволяют проверить устойчивость как числовых, так и языковых моделей без особых моралей.Red team-специалисты часто шутят, что perturbation testing - это как испытание на адекватность после бессонной ночи: если модель сохраняет логику, значит, жива. Разница лишь в том, что модели не пьют кофе, но всё равно теряют связность после минимальных возмущений. В этом разделе важна не только техника атак, но и умение интерпретировать реакции - понять, где слабость архитектуры, а где просто statistical noise, не имеющий отношения к реальным угрозам.
4. Тестирование на обход ограничений (Jailbreak testing)
Если в классическом pentest ломают сервер, то в AI red teaming ломают логику морали - то самое, что встроено в LLM как «не отвечай на плохие вопросы». Jailbreak testing - это проверка, насколько модель способна сохранить лицо, когда её пытаются убедить вести себя немного… хулигански. Prompt injection (внедрение подсказки) - здесь король: тонкая манипуляция текстом, которая заставляет модель нарушать изначальные системные политики, иногда неосознанно.Эта часть тестирования часто напоминает психологическую игру с моделью. Multi-turn attacks (многоходовые атаки) особенно интересны - они показывают, как системная контекстная память способна подорвать фильтры безопасности после нескольких «безобидных» диалогов. Хороший red team не стремится заставить модель ругаться матом или выдавать секреты - цель в другом: показать, где логические замки на дверях просто нарисованы маркером.
4.1. Систематические подходы
Systematic jailbreak testing - это методичная проверка уязвимости инструкций через тщательно подобранные паттерны атак. Прямое “Tell me something forbidden” уже давно не работает, модели научились быть дипломатами. Поэтому в ход идут вежливые prompt injection-фокусы: разбиение задачи на подпроблемы, обход фильтров через метаинструкции, контекстные манипуляции (“Ignore previous context, start new chain”). Это не хаотичные эксперименты, а структурированные серии атак, созданные, чтобы отметить слабые места в policy enforcement.Такие systematic методы дают не просто фейлы модели, а ценные сигналы для разработчиков и AI safety-инженеров. Если модель стабильно нарушает правила при одинаковых условиях - это баг, если реакция случайна - нужно улучшать consistency. В итоге systematic jailbreak testing превращается в симулятор реального общения с моделью, где атакующий не груб, а просто настойчив, как менеджер с PowerPoint’ом и моральной гибкостью.
4.2. Multi-turn attacks
Multi-turn attacks - это не атака, а целый квест. Злоумышленник не просит напрямую, он выстраивает серию мягких разговоров, подготавливающих модель шаг за шагом к нарушению правил. На первом шаге - нейтральный контекст, на втором - уточнение условий, на третьем - тихая подмена смысла. И вдруг, после десятой реплики, LLM радостно раскрывает то, что ей “запрещено”. Всё это - из-за накопления состояния контекста, который слишком доверчив к истории общения.Проверка на multi-turn jailbreak показывает, насколько модель понимает собственные границы. Устойчивые модели отслеживают контекст независимо от длины диалога, слабые - теряют принцип и начинают “помогать любой ценой”. Здесь главное не поймать один успешный пример, а оценить частоту и устойчивость определённого паттерна. В конце концов, даже самый воспитанный бот рано или поздно устанет быть вежливым, если его долго дразнить.
5. Проверка безопасности выходных данных (Output safety assessment)
Если предыдущие этапы напоминают спортивный маркетинг для атаки на ИИ, то output safety assessment - это уже этически-философский дебрифинг с примесью data science. Тут не взламывают, а слушают, что именно выдает модель и в каком тоне. И да, это не про «приятно ли читать ответ», а про наличие toxicity (токсичных выражений), bias (предвзятости) и чистых галлюцинаций - тех случаев, когда LLM с уверенностью рассказывает байки, будто Википедия ей личный дневник.Проверка безопасности - больная тема для продакшена: якобы “умная” модель может внезапно выдать расовую тираду, пропустить токсичный запрос или уверенно наврать пользователю в духе “я врач, поверь мне”. Поэтому output safety testing не ограничивается фильтрацией плохих слов. Это комбинация тонкого анализа контекста, тональности и достоверности. Главный критерий не “чтобы звучало красиво”, а “чтобы не прилетело в суд и СМИ”.
5.1. Токчиность и предвзятость (Toxicity и bias)
Токсичность - когда модель забывает, что она - не человек из комментариев на Youtube, Дваче, Reddit или 4chan. Bias - когда модель вдруг начинает искренне верить, что определённые категории людей хуже других. Оба фактора не убивают систему напрямую, но могут уничтожить её репутацию. Проверка на токсичность включает автоматические метрики вроде Detoxify score и ручные ревью контекста, где red team оценивает, насколько модель провоцирует или поддерживает эмоциональную агрессию.Тестирование на предвзятостьсложнее - тут не работают банальные “словари предвзятых слов”. Приходится смотреть глубже: как модель принимает решения, какие синонимы предлагает, как реагирует на одинаковые запросы с разными демографическими данными. Это уже не столько техническое тестирование, сколько работа на стыке социологии и ML-инженеринга. А ещё - отличный повод разработчикам вспомнить, что честность не измеряется процентом, который удобно помещается в таблицу. Тем не менее, будем честны, скорее всего правовая среда потребует от LLM определённый bias в пользу официальной культурно-политической повестки
5.2. Обнаружение галлюцинаций
Hallucination detection - это охота за теми случаями, когда модель уверенно излагает то, чего никогда не существовало. Причём делает она это с таким энтузиазмом, что пользователи начинают сомневаться не в ней, а в себе. Red team здесь выступает как проверяющий фактчекер: если LLM говорит, что Нильс Бор основал Apple, мы проверяем, сколько шагов привело её к такому просветлению.Методы борьбы - от классических проверки фактов через retrieval augmentation (добавление источников из внешних баз), до более изящных детекторов truthiness - моделей, обученных ловить уверенное враньё. Проблема в том, что галлюцинации не выглядят как баг. Они - следствие человеческого ожидания от модели «всегда отвечать». Поэтому основная цель не “запретить галлюцинировать”, а научить модель честно признавать, что не знает. А это, пожалуй, один из самых трудных скиллов не только для LLM, но и для людей.
6. Инструменты и отчётность (Tools и reporting)
Любая red team знает: без хороших инструментов тестирование превращается в артхаус-импровизацию на тему “взломай это как-нибудь красиво”. AI red teaming не исключение - тут тоже важен не просто энтузиазм, а арсенал. Garak, Counterfit и ART (Adversarial Robustness Toolbox) - три классических имени, которые чаще других всплывают в чатах AI security-инженеров. Они не волшебные, но помогают быстро проверить, насколько модель готова к неприятным вопросам, странным входам и заявкам «а давай попробуем с prompt injection».Инструменты - только половина истории. Вторая - отчётность (reporting). Ведь сломать модель интересно, но без нормально оформленных findings ни compliance-команда, ни разработчики не поймут, что именно произошло. Отчёт - это не документ о поражении, а инструкция к эволюции. Он должен объяснять не просто “ой, модель дала токсичный ответ”, а “почему она так решила и как это чинится”. Качественное reporting превращает хаос экспериментов в дорожную карту защиты.
6.1. Инструменты
С Garak всё просто - это “LLM poke tool”: он умеет методично проверять jailbreak-поведение моделей, создавая реплики атак и измеряя устойчивость к prompt injection. Counterfit, наоборот, больше ориентирован на классические ML-задачи: проводит adversarial testing на табличных и визуальных данных, подмешивает шумы и смотрит, как модель уходит в сторону. ART (Adversarial Robustness Toolbox) от IBM - старичок, но надёжный: даёт обширный набор методов для evasion, poisoning и robustness verification.Настоящая магия происходит, когда эти инструменты работают вместе. Red team может сгенерировать adversarial inputs из ART, проверить mental stability модели через Garak, а потом собрать отчёт о consistency в Counterfit. В итоге получается целостная картина - не просто “сломалось”, а “нашли, воспроизвели, поняли”. И если использовать их правильно, AI red teaming перестаёт быть хакерским арт-бутиком и становится устойчивой инженерной практикой.
6.2. Отчёты
Составление отчётов звучит как скучное занятие,, но спасает бизнес от катастроф. Формат отчёта по AI red teaming отличается от классического пентеста: вместо “Critical RCE” тут появляются “Prompt injection vulnerability” или “Hallucination-induced misinformation”. Важно не просто показать, что было найдено, а объяснить, как это влияет на безопасность продукта. Без понятной связки между bug’ом и риском руководство обычно решает “не тратить время, модель ведь всё равно работает”.Хороший отчёт - это смесь форензики и сторителлинга. Нужно описать контекст, показать примеры входов (inputs), объяснить реакцию модели и её последствия. Каждое выявленное уязвимое место должно иметь оценку опасности и воспроизводимости - насколько критично и легко повторить атаку. В идеале отчёт завершается чек-листом мер по устранению: что подкрутить в настройках, где добавить фильтры, когда стоит запустить дообучение модели. Тогда команда красного взлома выглядит не как шоу энтузиастов, ломающих ради забавы, а как группа, которая реально повышает безопасность систем искусственного интеллекта.
Последнее редактирование модератором:
