作者:梦晨
转自:量子位 | 公众号 QbitAI
ChatGPT惨遭攻击,参数规模终于被扒出来了——
很可能只有7B (70亿) 。
消息来自南加州大学最新研究,他们使用一种攻击方法, 花费不到1000美元 就把最新版gpt-3.5-turbo模型的机密给挖了出来。
果然,OpenAI不Open,自有别人帮他们Open。
具体来说,南加大团队三位作者破解出了未公布的gpt-3.5-turbo 嵌入向量维度 (embedding size) 为4096或4608。
而几乎所有已知的开源大模型如Llama和Mistral,嵌入向量维度4096的时候都是约7B参数规模。
其它比例的话,就会造成网络过宽或过窄 ,已被证明对模型性能不利。
因此南加大团队指出,可以推测gpt-3.5-turbo的参数规模也在7B左右, 除非是MoE架构 可能不同。
数月前,曾有微软CODEFUSION论文意外泄露当时GPT-3.5模型参数为 20B ,在后续论文版本中又删除了这一信息。
当时引起了一阵轩然大波,业界很多人分析并非不可能,先训练一个真正的千亿参数大模型,再通过种种手段压缩、蒸馏出小模型,并保留大模型的能力。
而现在的7B,不知道是从一开始20B的消息就不准确,还是后来又再次压缩了。
但无论是哪一种,都证明OpenAI有很恐怖的模型优化能力。
撬开ChatGPT的保护壳
那么,南加大团队是怎么扒出ChatGPT未公开配置的呢?
还要说到现代语言模型中普遍存在的「 Softmax瓶颈 」。
当Transformer网络处理完输入,会得到一个低维的特征向量,也就是Embedding。这个特征向量再经过Softmax变换,就得到了最后的概率分布输出。
问题就出在Softmax这里,因为矩阵的秩受限于特征向量的维度,所以大模型的输出空间事实上被限制在了一个低维的线性子空间里。
这就像是无论你的衣柜里有多少件衣服,最后能穿出去的搭配,其实是有限的。这个」衣柜」的大小,就取决于你的「特征向量维度」有多大。
南加大团队抓住了这一点,他们发现,只要从API调用中获取到足够多的输出样本,就足以拼凑出这个大模型的特征向量维度。
有了这个特征向量维度,可以 进一步推断大模型的参数规模 、 还原出完整的概率输出 , 在API悄悄更新时也能发现变化 ,甚至 根据单个输出判断来自哪个大模型 。
更狠的是,推测特征向量维度并不需要太多的样本。
以OpenAI的gpt-3.5-turbo为例,采集到4000多个样本就绰绰有余了,花费还不到1000美元。
在论文的最后,团队还探讨了目前的几个应对这种攻击的方法,认为这些方法要么消除了大模型的实用性,要么实施起来成本高昂。
不过他们倒也不认为这种攻击不能有效防护是个坏事,
一方面无法用此方法完整窃取模型参数,破坏性有限。
另一方面允许大模型API用户自己检测模型何时发生变更,有助于大模型供应商和客户之间建立信任,并促使大模型公司提供更高的透明度。
这是一个feature,不是一个bug。
论文:
https://arxiv.org/abs/2403.09539
参考链接:
https://x.com/TheXeophon/status/1768659520627097648
— 完 —
最后
前阵子IDE 来了一波大的更新,推出了 2023.3 正式版,做了不少优化,最重要的是大家期待已久的 AI Assistant 插件本次更新也正式推出,助力大家提高 Coding 效率。但是很遗憾,目前我们无法使用,因为该插件底层主要基于 OpenAi,大陆现在是未开放地区,未提供服务,但是经过一番折腾(白嫖不行)还是可以使用上的。
目前AI Assistant需要对账号授权激活。需要激活的小伙伴可以扫描下方二维码(备注: 购买 ),抢先激活!,想白嫖的不要来,暂时不支持免费哦!机会稍纵即逝,错过不再有!
让AI Assistant为你的编程赋能,将你从乏味的工作中解放出来,前所未有地专注于重要事项。
后续我会继续详细分享更多实用的工具和功能。大家可以把微信公众号,设置为
星标,这样就不会错过之后的精彩内容啦!
如果这篇文章对你有帮助的话,别忘了【在看】【点赞】支持下哦~
IT一线从业者抱团群
致力于帮助广大开发者提供高效合适的工具,让大家能够腾出手做更多创造性的工作,也欢迎大家分享自己公司的内推信息,相互帮助,一起进步!
组建了程序员,架构师,IT从业者交流群,以
交流技术
、
职位内推
、
行业探讨
为主
加大佬 好友 ,备注"加群"
