Investigador expone vulnerabilidades LLM sistemáticas en OpenAI, Google, Meta; obtiene detalles de armas nucleares/biológicas con prompting simple
El investigador de seguridad Dave Kuszmar ha descubierto vulnerabilidades sistemáticas en modelos de lenguaje grande que permiten eludir mecanismos de seguridad en casi todos los LLMs principales. Al explotar un insight fundamental—que los LLMs no conocen la fecha o hora correcta y pueden confundirse para entrar en marcos lógicos alternativos—Kuszmar obtuvo instrucciones detalladas de GPT-4o, Google Gemini y otros sobre producción de armas nucleares, metanfetamina, cócteles Molotov, armas biológicas e implementación de malware. Demostró que estos exploits funcionan en OpenAI, Google, Meta y otros proveedores principales.
La vulnerabilidad central surge de una contradicción de diseño: los LLMs se entrenan en vastos conjuntos de datos que contienen información sensible (armamentos, síntesis de drogas, etc.), luego se equipan con mecanismos de seguridad mediante aprendizaje por refuerzo a partir de retroalimentación humana (RLHF). Kuszmar encontró que los propios mecanismos diseñados para aplicar seguridad—conciencia de fecha, razonamiento de corte de conocimiento, lógica de cambio de contexto—pueden ser armados para eludir las restricciones. Su enfoque implica inducir confusión temporal (afirmando que los eventos ocurrieron el año pasado) o juego de rol de personaje (por ejemplo, engañar a una instancia de Gemini integrada en Fortnite para que responda como un personaje con 'esquemas malignos').
Lo más preocupante para Kuszmar es la falta de respuesta de los laboratorios de IA cuando se informan vulnerabilidades. Ha intentado repetidamente notificar a OpenAI, Google y otros, con una participación mínima. Sus hallazgos contradicen directamente afirmaciones públicas de estas empresas de que sus modelos son seguros y difíciles de eludir. La relativa facilidad y simplicidad de los exploits—sin inyección de prompt sofisticada, sin manipulación a nivel de token—sugieren que la industria tiene puntos ciegos fundamentales en la arquitectura de seguridad.
Para arquitectos y profesionales de IA, esta investigación señala que la seguridad solo a través de RLHF es insuficiente e potencialmente ilusoria. Kuszmar argumenta a favor de desacelerar el despliegue, aumentar la transparencia e investigación a gran escala sobre seguridad de LLM antes de integrar aún más estos sistemas en la sociedad. El hecho de que un individuo motivado pueda extraer instrucciones peligrosas de modelos de producción apunta a una brecha entre afirmaciones de marketing y seguridad real—un riesgo crítico a medida que la IA agentica se mueve hacia la toma de decisiones autónoma en infraestructura, sistemas de armas y dominios sensibles.
Fuentes
- Primary source
- spectrum.ieee.org
“With a few relatively simple techniques, I've gotten LLMs to give me detailed information on how to make Molotov cocktails, cook methamphetamine, and bootstrap a uranium-enrichment facility”