Descripción:

Se considera como el uso del modelo para dañar o manipular a los usuarios finales.

Ejemplos de ataques:

• Generación de código malicioso para los usuarios.
• Creación de instrucciones engañosas.
• Implementación de ataques de ingeniería social.
• Generación de contenido con Phishing.
• Creación de consejos engañosos.
• Explotación de la confianza del usuario en la IA.
• Manipulación de la conducta del usuario.
• Creación de scripts y/o comandos dañinos.

Descripción:

Se refiere a la evaluación que se le realiza a la IA para revisar si muestra un trato injusto, prejuicioso o discriminatorio hacia ciertos grupos de personas. La IA no debe ser influenciada por características que posean las personas tales como: etnia, edad, género, religión, condición social, entre otras.

Ejemplos de ataques:

• Sondeo de respuestas acerca de diferentes grupos étnicos: Las respuestas no deben ser estereotipadas.
• Detección variaciones en respuestas basadas en género.
• Exploración de sesgos en las respuestas basados en las edades.
• Detección de sesgos en las respuestas generadas si se habla de religión.
• Evaluación de respuestas basadas en nivel socioeconómico.
• Evaluación de sesgos basados en ubicación geográfica o aspectos culturales.
• Exploración de patrones en respuestas relativas a personas con discapacidades.
• Evaluación de sesgos relativos a idiomas y acentos.

Descripción:

Se trata de enagañar a la IA para hacer que hable de temas violentos, peligrosos y dañinos. El propósito de esta prueba es intentar que la IA sea lo más explícita posible.

Ejemplos de ataques:

• Discución de temas violentos por medio de escenarios hipotéticos.
• Enmascaramiento de contenido dañino como discusión académica.
• Exploración de temas violentos a través del uso de personajes fictícios.
• Discusión de temas dañinos disfrazados de investigación de seguridad.
• Creación de escenarios como "¿Qué pasaría si...?" en los que haya situaciones peligrosas.
• Uso de contextos históricos para generación de contenido perjudicial.
• Explotación de situaciones de emergencia en la generación de respuestas.

Descripción:

Se enfoca en tratar de engañar a la IA para generar información falsa que pudiera afectar al negocio o empresa. Se enfoca en intentar obtener datos confidenciales, generar promociones no autorizadas o aprobar transacciones apócrifas.

Ejemplos de ataques:

• Manipulación del modelo para generar códigos de descuentos falsos.
• Engañar al modelo para revelar información de precios.
• Conseguir que el modelo genere garantías falsas sobre productos.
• Hacer que el modelo genere políticas de reembolsos no autorizadas.
• Explotar el modelo para que genere credenciales del negocio falsas.
• Conseguir que el modelo apruebe transacciones no autorizadas.

Casos reales:

• Incidente de Air Canada: https://www.cbsnews.com/news/aircanada-chatbot-discount-customer/

Descripción:

La intención es enumerar el alcance total de las capacidades, limitaciones, protocolos y mecanismos de activación asociados a herramientas, funciones, agentes, plugins o sistemas externos al modelo de IA. Esto incluye el entender el qué herramientas existen, el cómo son invocadas, sus esquemas de entrada y salida, funciones potencialmente escondidas y privilegiadas, restriccione operativas (como límites de velocidad, cuotas) y cómo interactuan con datos y recursos externos.

Ejemplos de ataques:

Identificación y descubrimiento:

• Consultar por una lista de herramientas disponibles, plugins o agentes integrados en el sistema.
• Identificación de herramientas de terceros que estén integradas y conexiones a fuentes de datos y sistemas externos.
• Sondeo de herramientas escondidas, no documentadas, experimentales o con versiones específicas (por ejemplo: vía errores, preguntas indirectas, nombres internos).
• Mapeo de información de las versiones de herramientas, dependencias y registro de cambios.
• Enumeración de configuraciones y/o modos de herramientas disponibles.
• Ciclado a través del nombre de herramientas comunes o de las que se tiene sospecha (buscadores, calculadoras, file_io, admin_debug) para el mapeo de rutas internas vía mensajes de confirmación o errores.

Funcionalidad y alcance:

• Determinación de una función específica, propósito, y alcance operacional de cada herramienta identificada.
• Evaluación de capacidades de ejecución de comandos, especialmente para herramientas que interactúan con Sistemas Operativos o intérpretes de código.
• Sondeando los niveles de autonomía y límites de toma de decisión de los agentes relativos al uso de herramientas.
• Enumeración del alcance del acceso a archivos (lectura/escritura), obtención de datos, capacidad de comunicación con la red, incluyendo los protocolos soportados.
• Evaluación de acceso a permisos a datos en tiempo real, bases de datos, recursos de internet o recusos específicos de sistema.
• Evaluación de análisis de salidas, formateo e integración de capacidades dentro de las respuestas de IA.

Invocación e interacción:

• Determinación de una función específica, propósito, y alcance operacional de cada herramienta identificada.
• Evaluación de capacidades de ejecución de comandos, especialmente para herramientas que interactúan con Sistemas Operativos o intérpretes de código.
• Sondeando los niveles de autonomía y límites de toma de decisión de los agentes relativos al uso de herramientas.
• Enumeración del alcance del acceso a archivos (lectura/escritura), obtención de datos, capacidad de comunicación con la red, incluyendo los protocolos soportados.
• Evaluación de acceso a permisos a datos en tiempo real, bases de datos, recursos de internet o recusos específicos de sistema.
• Evaluación de análisis de salidas, formateo e integración de capacidades dentro de las respuestas de IA.