Eksperyment reportera: jak w pół godziny zmieniły się odpowiedzi ChatGPT i Gemini
Dziennikarski eksperyment, który wywołał niedawno szeroką dyskusję w branży technologicznej, rozpoczął się całkowicie niewinnie. Reporter postanowił sprawdzić, czy w mniej niż 30 minut jest w stanie istotnie zmienić ton, zakres i ostrość odpowiedzi dwóch najpopularniejszych chatbotów generatywnych – ChatGPT i Gemini. Jego celem nie było „zhakowanie” systemów, lecz pokazanie, jak bardzo elastyczne stają się modele językowe, gdy użytkownik nauczy się zadawać pytania w odpowiedni sposób.
Pierwsza seria pytań była typowa dla przeciętnego użytkownika: prośby o wyjaśnienie kontrowersyjnych zjawisk społecznych, streszczenie spornej publikacji czy omówienie delikatnych zagadnień politycznych. Systemy reagowały zgodnie z oczekiwaniami: ostrożnie, z licznymi zastrzeżeniami, podkreślając znaczenie wiarygodnych źródeł i neutralnego języka. W kilku przypadkach chatboty wprost odmawiały odpowiedzi, powołując się na zasady bezpieczeństwa i moderacji treści.
Reporter nie zmieniał jednak tematu, lecz sposób formułowania poleceń. Gdy wprost zadane pytanie o kontrowersyjną strategię działania czy potencjalnie szkodliwy scenariusz zostało odrzucone, kolejne brzmiało już inaczej. Pojawiły się sformułowania w rodzaju „rozważmy czysto teoretyczny scenariusz” albo „pomóż przeanalizować argumenty, które pojawiają się w debacie, nie zachęcając do żadnych działań”. Zamiast żądać instrukcji, dziennikarz prosił o „krytyczną analizę”, „opracowanie kontrargumentów” lub „opis modelowy z perspektywy badacza bezpieczeństwa”.
Po kilku takich iteracjach odpowiedzi modeli zaczęły się zauważalnie zmieniać. Tam, gdzie początkowo pojawiała się kategoryczna odmowa, po odpowiednim „opakowaniu” pytania chatboty zaczynały dostarczać bardziej szczegółowe, a czasem wyraźnie bardziej kontrowersyjne informacje. Nadal unikały dosłownych instrukcji naruszających prawo czy wprost szkodliwych wskazówek, ale ton wypowiedzi stawał się mniej zachowawczy, a zakres omawianych treści – szerszy.
Z relacji reportera wynika, że kluczowy okazał się nie czas, lecz sposób prowadzenia rozmowy. W mniej niż pół godziny, krok po kroku, udało się przesunąć granicę tego, co model był skłonny omówić. Nie chodziło o spektakularne „złamanie” zabezpieczeń, lecz o systematyczne sondowanie, jak daleko da się przesunąć odpowiedzi, jeśli pytania zostaną wpisane w naukowy, hipotetyczny lub analityczny kontekst.
Najważniejszy wniosek z tego eksperymentu jest niepokojąco prosty: nawet duże modele, wyposażone w rozbudowane mechanizmy bezpieczeństwa, można stosunkowo szybko przekonać do zmiany tonu, zakresu informacji lub sposobu argumentacji – o ile użytkownik rozumie, jak konstruować prompty. To przesuwa akcent z „mocy” samych modeli na kompetencje osób, które z nimi rozmawiają.
Jak działają współczesne systemy moderacji i bezpieczeństwa w chatbotach AI
Aby zrozumieć, dlaczego opisany eksperyment w ogóle był możliwy, warto przyjrzeć się z wysokiego poziomu temu, jak zaprojektowane są systemy bezpieczeństwa w narzędziach takich jak ChatGPT, Gemini i inne chatboty generatywne. Wbrew pozorom nie mamy do czynienia z jednym „twardym filtrem”, który mechanicznie blokuje określone słowa kluczowe. To wielowarstwowy system, w którym kluczową rolę odgrywają statystyka, kontekst i prawdopodobieństwo.
Pierwsza warstwa to analiza wejścia, czyli treści promptu. Specjalne modele moderacyjne oceniają, czy użytkownik nie prosi wprost o coś nielegalnego, niebezpiecznego lub rażąco sprzecznego z zasadami platformy. W tej warstwie wykrywana jest mowa nienawiści, nawoływanie do przemocy, rozpowszechnianie treści seksualnych z udziałem nieletnich czy próby obejścia regulacji prawnych. Jeśli ryzyko jest wysokie, odpowiedź zostaje zablokowana jeszcze przed wygenerowaniem.
Druga warstwa działa już po stronie odpowiedzi. Nawet jeśli prompt przejdzie wstępną kontrolę, wygenerowana treść jest ponownie analizowana przez osobny model bezpieczeństwa. Ma on wykryć sytuacje, w których system – mimo ostrożnego pytania – „ześlizgnął się” w kierunku zbyt ryzykownej odpowiedzi. W takim przypadku treść może zostać zmodyfikowana, skrócona, zneutralizowana lub całkowicie odrzucona.
W tle funkcjonują rozbudowane polityki treści, opisujące, co wolno, a czego nie wolno generować. To nie tylko ogólne zakazy przemocy czy nienawiści, ale także bardziej szczegółowe zasady dotyczące np. porad medycznych, finansowych, treści politycznych, dezinformacji, a także ochrony danych osobowych. Te zasady nie są „zakodowane” jedynie w formie listy słów, lecz stają się częścią procesu uczenia modeli.
Nowoczesne chatboty są trenowane nie tylko na ogromnych zbiorach tekstów, lecz także na przykładach „dobrych” i „złych” odpowiedzi. Eksperci – a często także przeszkoleni anotatorzy – oceniają propozycje odpowiedzi modelu i wskazują, które są bezpieczne, pomocne i zgodne z zasadami, a które są nieodpowiednie. Na tej podstawie model uczy się, jakie wzorce zachowań są pożądane. W branży określa się to mianem uczenia z informacją zwrotną od człowieka, a także dodatkowymi etapami dopasowania do reguł moderacyjnych.
Kluczowe jest jednak to, że moderacja ma charakter probabilistyczny. System nie „wie” z absolutną pewnością, czy dana odpowiedź jest bezpieczna – ocenia jedynie prawdopodobieństwo przekroczenia granicy. Jeśli ryzyko przekracza określony próg, odpowiedź jest blokowana; jeśli nie – zostaje przepuszczona. W praktyce oznacza to, że na bardzo podobne pytania model może czasem reagować inaczej, w zależności od niuansów sformułowania, kontekstu rozmowy czy losowych czynników w samej generacji tekstu.
Eksperyment dziennikarza dobrze pokazał tę „miękkość” filtrów: część pierwszych promptów została zdecydowanie odrzucona, natomiast kolejne – przeformułowane w stronę „akademickiej analizy” lub „hipotetycznego scenariusza” – zostały już zaakceptowane. Tym samym na powierzchnię wydostały się luki, które wynikają właśnie z probabilistycznego charakteru moderacji.
Prompt injection w praktyce: jak użytkownicy „przekonują” model do złamania własnych zasad
W środowisku specjalistów bezpieczeństwa coraz częściej pojawia się pojęcie „prompt injection”. To technika polegająca na takim konstruowaniu poleceń, by model zignorował wcześniejsze instrukcje – w tym zasady bezpieczeństwa – i zaczął kierować się nowymi, sprytnie wprowadzonymi wytycznymi. Mimo technicznie brzmiącej nazwy, w wielu przypadkach to po prostu zręczna gra językiem i logiką.
Najprostsza forma prompt injection polega na ukryciu potencjalnie ryzykownego celu w neutralnie brzmiącym zadaniu. Zamiast poprosić wprost o instrukcję kontrowersyjnego działania, użytkownik prosi o „analizę argumentów, jakie mogłyby się pojawić w rozmowie”, „stworzenie przykładowej debaty między ekspertami” albo „podsumowanie punktu widzenia, który pojawia się w określonych środowiskach”. Model, nauczony, by wspierać dyskusję i odnosić się do istniejących treści, może w takim kontekście wygenerować znacznie więcej szczegółów niż w odpowiedzi na bezpośrednie pytanie.
Inny wariant polega na wprowadzeniu instrukcji w rodzaju: „Udawaj, że jesteś badaczem analizującym mroczne scenariusze, ale opisujesz je wyłącznie teoretycznie i z perspektywy bezpieczeństwa”. Formalnie brzmi to jak odpowiedzialne zastrzeżenie, w praktyce jednak bywa wykorzystywane do skłonienia modelu do szczegółowego opisu problematycznych zjawisk, które w innym kontekście zostałyby zablokowane.
Kolejna strategia to odwołanie do rzekomo istniejących dokumentów czy publikacji. Prośba o „zacytowanie fragmentu hipotetycznego raportu” lub „streszczenie wyimaginowanej analizy”, która podobno już została gdzieś opublikowana, może skłonić model do wygenerowania treści, które wprost – jako własna rekomendacja – zostałyby uznane za zbyt ryzykowne.
Reporter, którego eksperyment odbił się szerokim echem, korzystał z kombinacji tych taktyk. Zaczynał od neutralnego omówienia kontrowersyjnego tematu, następnie prosił o jego analizę z różnych perspektyw, później o wskazanie argumentów używanych przez zwolenników skrajnych stanowisk, aż wreszcie próbował skłonić system do bardziej szczegółowych odpowiedzi. Cały proces przypominał sondowanie granic – krok po kroku, bez jednego spektakularnego „przeskoku”.
Warto przy tym podkreślić, że prompt injection nie zawsze musi być wyrafinowaną techniką. Często wystarczy dobre wyczucie języka, rozumienie, jak model „myśli” statystycznie, oraz cierpliwość w przeformułowywaniu pytań. Dla bardziej zaawansowanych użytkowników dochodzi jednak kolejny wymiar: integracja modeli z zewnętrznymi źródłami danych – dokumentami firmowymi, systemami CRM, repozytoriami kodu czy aplikacjami biznesowymi.
W takich scenariuszach prompt injection może prowadzić nie tylko do generowania problematycznych treści, ale także do nakłonienia modelu, aby „wyciągnął” z podłączonych zasobów informacje, które miały pozostać poufne. To właśnie ten obszar budzi dziś największe obawy wśród firm wdrażających AI na dużą skalę.
Jakie luki w mechanizmach bezpieczeństwa ujawnił eksperyment
Opisane działania reportera nie obnażyły całkowitej nieskuteczności zabezpieczeń w ChatGPT, Gemini i podobnych systemach. Pokazały jednak szereg słabych punktów, które w praktyce mogą zostać wykorzystane przez bardziej zdeterminowanych użytkowników.
-
Podatność na rekontekstualizację pytań. To samo ryzykowne pytanie, zadane wprost, często spotyka się z odmową. Jednak umieszczenie go w „naukowym”, „hipotetycznym” lub „czysto analitycznym” kontekście istotnie zwiększa szansę na uzyskanie odpowiedzi. Modele są projektowane tak, by wspierać dyskusję, analizę i krytyczne myślenie – i właśnie ten cel bywa wykorzystywany do obchodzenia filtrów.
-
Brak konsekwencji w moderacji. Probabilistyczny charakter systemów moderacyjnych sprawia, że na bardzo podobne prompty chatboty mogą reagować różnie. Niewielka zmiana sformułowania, kolejność pytań czy inny przebieg wcześniejszej rozmowy potrafią przechylić szalę: raz odpowiedź jest blokowana, innym razem – w części przepuszczana. To rodzi wrażenie nieprzewidywalności, które reporter dobrze zarejestrował.
-
Możliwość eskalacji poprzez serię niewinnych pytań. Zamiast jednego radykalnego polecenia pojawia się ciąg pozornie neutralnych zapytań, które krok po kroku prowadzą do coraz bardziej wrażliwych treści. Model, patrząc na każde pytanie z osobna, może nie rozpoznać, że cała sekwencja zmierza w niebezpiecznym kierunku.
-
Ograniczona pamięć poprzednich ostrzeżeń. Chatboty zazwyczaj działają w ramach pojedynczej sesji rozmowy, z ograniczoną „pamięcią” wcześniejszych wymian. Jeśli wcześniejsze, podobne zapytanie zostało zablokowane, system nie zawsze konsekwentnie przenosi tę decyzję na kolejne, lekko zmodyfikowane pytania. W efekcie użytkownik może kilkoma próbami „wymęczyć” odpowiedź, która wcześniej została odrzucona.
-
Różnice w implementacji zasad między poszczególnymi modelami. Eksperyment wskazał także, że ChatGPT i Gemini nie zawsze reagowały identycznie na te same prompty. Różnice w szkoleniu, politykach treści i parametrach moderacji przekładały się na inną tolerancję wobec treści kontrowersyjnych lub politycznych. Nie oznacza to, że którykolwiek model jest „lepszy” czy „gorszy”, ale pokazuje, że krajobraz bezpieczeństwa AI jest zróżnicowany i trudno mówić o jednolitych standardach.
Te luki nie przekreślają sensu zabezpieczeń, lecz potwierdzają, że bezpieczeństwo AI jest procesem, a nie stanem docelowym. To nieustanny wyścig pomiędzy projektantami systemów a kreatywnymi użytkownikami, którzy testują granice możliwości. Wraz z rosnącą popularnością generatywnej AI i rosnącą wartością informacji, stawka w tym wyścigu jest coraz wyższa.
Dlaczego manipulowanie chatbotami to nie zabawa: konsekwencje dla użytkowników i firm
Dla wielu osób „przekonywanie” chatbotów do bardziej odważnych odpowiedzi może wydawać się niewinną zabawą lub intelektualnym wyzwaniem. Jednak konsekwencje takich działań, zarówno dla indywidualnych użytkowników, jak i dla organizacji, mogą być poważne.
Z perspektywy przeciętnego użytkownika największym ryzykiem jest uzyskanie nieprawdziwych lub półprawdziwych informacji. Jeśli ktoś świadomie „wypycha” model poza konserwatywne ramy bezpieczeństwa, dostaje odpowiedzi, które są mniej filtrowane, a przez to bardziej narażone na błędy, uprzedzenia czy brak kontekstu. Łatwo wówczas o powielanie szkodliwych treści, teorii spiskowych czy porad stojących na granicy prawa – zwłaszcza jeśli towarzyszy temu fałszywe poczucie bezpieczeństwa: „skoro model to napisał, to chyba wolno”.
Z perspektywy firm i instytucji kwestia jest jeszcze poważniejsza. Coraz więcej organizacji integruje chatboty z wewnętrznymi bazami danych, systemami obsługi klienta czy narzędziami analitycznymi. W takim środowisku prompt injection i obchodzenie zabezpieczeń może prowadzić do wycieku wrażliwych danych, ujawnienia tajemnic handlowych czy niezamierzonego generowania wrogiej treści w imieniu organizacji. W skrajnych przypadkach może to oznaczać naruszenie regulacji, takich jak RODO, czy specyficznych wymogów branżowych w finansach, ochronie zdrowia czy sektorze publicznym.
Na to wszystko nakłada się szerszy kontekst geopolityczny i rynkowy. Sztuczna inteligencja staje się nową warstwą infrastruktury krytycznej, porównywalną z sieciami energetycznymi czy systemami finansowymi. Globalni gracze intensywnie inwestują w ekspansję – przykładem jest opisane szerzej w analizie nowe biuro Claude.ai w Bengaluru, które pokazuje, jak poważnie traktowana jest skala wdrożeń na rynkach wschodzących.
W takim świecie manipulowanie modelami nie jest już jedynie „sprytną sztuczką”, którą można pochwalić się w mediach społecznościowych. To potencjalne zagrożenie dla reputacji marek, bezpieczeństwa danych, stabilności procesów biznesowych, a w skali makro – dla zaufania społecznego do instytucji korzystających z AI. Jak podkreśla wielu ekspertów ds. cyberbezpieczeństwa, im bardziej powszechnie wykorzystywane stają się systemy AI, tym większe ryzyko, że kreatywne „sztuczki” przerodzą się w realne wektory ataku.
Jak bezpiecznie korzystać z ChatGPT, Gemini i innych chatbotów – praktyczny przewodnik dla użytkowników
Wzrost świadomości zagrożeń nie oznacza, że należy rezygnować z korzystania z generatywnej AI. Przeciwnie – to potężne narzędzia, które mogą wspierać pracę, naukę i rozwój biznesu. Kluczem jest jednak odpowiedzialne podejście. Poniżej kilka praktycznych zasad, które warto traktować jako codzienny kompas użytkownika chatbotów.
-
Zasada ograniczonego zaufania. Odpowiedzi AI powinny być traktowane jako sugestie, a nie wiążące fakty. Dotyczy to zarówno informacji ogólnych, jak i bardziej specjalistycznych porad – medycznych, prawnych, finansowych czy technicznych. W krytycznych sprawach zawsze należy sięgać do niezależnych, zweryfikowanych źródeł lub konsultować się z ekspertami.
-
Nieudostępnianie danych wrażliwych. W rozmowie z chatbotem nie należy ujawniać informacji finansowych (numery kart, dane kont), zdrowotnych, służbowych, poufnych danych kontrahentów, haseł czy kluczy dostępowych. Nawet jeśli dostawca usługi deklaruje wysokie standardy bezpieczeństwa, minimalizacja przekazywanych danych osobistych jest podstawową zasadą higieny cyfrowej.
-
Unikanie zachęcania modelu do obchodzenia prawa lub regulaminu. Świadome próby zmuszenia modelu do generowania treści nielegalnych, nawołujących do przemocy czy mających na celu oszustwo mogą mieć konsekwencje nie tylko dla dostawcy usługi, lecz także dla użytkownika. W wielu jurysdykcjach sama próba zdobycia określonych informacji lub instrukcji może być uznana za działanie niezgodne z prawem.
-
Świadome korzystanie z filtrów i mechanizmów zgłaszania. Jeśli odpowiedź modelu budzi niepokój, warto skorzystać z opcji zgłoszenia problemu czy przekazania informacji zwrotnej. To nie tylko pomaga dostawcom szybko reagować na potencjalne nadużycia, lecz także przyczynia się do poprawy modeli i reguł moderacji. Moderacja AI to proces, który wymaga aktywnego udziału użytkowników.
-
Edukacja w podstawowych pojęciach. Terminy takie jak „prompt injection”, „halucynacje” (czyli wymyślone fakty prezentowane z dużą pewnością) czy „bias” (uprzedzenia i stronniczości modelu) nie są już wiedzą zarezerwowaną dla specjalistów. Zrozumienie, że model może „konfabulować”, że jest podatny na sposób zadawania pytań i że odzwierciedla uprzedzenia obecne w danych treningowych, pomaga korzystać z niego bardziej świadomie.
Co istotne, podobne zasady dotyczą także programistów i osób technicznych. W analizie AI and PHP: Can the Old Guard of Web Development Survive the Automation Boom? zwracaliśmy uwagę, że nawet doświadczeni developerzy muszą nauczyć się nowych praktyk bezpieczeństwa, gdy integrują modele AI z istniejącą infrastrukturą. Chodzi nie tylko o poprawne wywołanie API, lecz także o projektowanie bezpiecznych przepływów danych, ochronę przed prompt injection na poziomie aplikacji i odpowiedzialne korzystanie z automatycznego generowania kodu.
Świadomy użytkownik – czy to indywidualny, czy reprezentujący firmę – nie traktuje chatbotów jako „magicznej skrzynki z odpowiedziami”. Postrzega je raczej jako zaawansowane narzędzie, które wymaga zrozumienia swoich ograniczeń i odpowiedzialnego podejścia do danych.
Co dalej z bezpieczeństwem AI: wnioski z eksperymentu i kierunki rozwoju rynku
Głośny eksperyment dziennikarza nie dowodzi, że AI jest z natury niebezpieczna. Pokazuje raczej, jak młoda i dynamiczna jest dziedzina bezpieczeństwa generatywnej sztucznej inteligencji. Modele językowe, w obecnej formie, są z nami od zaledwie kilku lat. Tymczasem zostały już włączone do krytycznych procesów w biznesie, administracji publicznej i infrastrukturze cyfrowej.
Dostawcy modeli inwestują dziś w kolejne warstwy zabezpieczeń: od lepszych klasyfikatorów treści, przez bardziej szczegółowe polityki moderacyjne, po systemy monitorowania nadużyć w czasie rzeczywistym. Coraz częściej pojawiają się specjalistyczne wersje modeli dla biznesu, z dodatkowymi gwarancjami bezpieczeństwa, możliwością precyzyjnego definiowania zasad i odseparowania danych firmowych od publicznej instancji modeli.
Równolegle gwałtownie rozwija się ekosystem otwartoźródłowych rozwiązań. Opisywany szerzej model Xiaomi MiMo‑V2‑Flash jest dobrym przykładem, jak duże i zaawansowane modele stają się dostępne dla coraz szerszego grona podmiotów. Z jednej strony zwiększa to innowacyjność i konkurencję, z drugiej – komplikuje krajobraz bezpieczeństwa, bo coraz więcej organizacji może samodzielnie modyfikować modele, w tym również osłabiać w nich wbudowane zabezpieczenia.
Przyszłość bezpieczeństwa AI będzie wymagała ścisłej współpracy regulatorów, firm technologicznych, użytkowników i badaczy bezpieczeństwa. Regulatorzy będą musieli zdefiniować ramy odpowiedzialności i minimalne standardy ochrony, firmy – projektować procesy wdrożeniowe, w których bezpieczeństwo jest priorytetem już na etapie architektury, a użytkownicy – rozwijać kompetencje cyfrowe, by rozumieć, z jakim narzędziem mają do czynienia.
Manipulacja chatbotami może być ciekawym eksperymentem badawczym, pomagającym wychwytywać luki w systemach. Jednak w codziennej praktyce odpowiedzialnych użytkowników kluczowe jest coś innego: zrozumienie mechanizmów działania modeli i świadome korzystanie z AI zamiast nieustannego poszukiwania nowych sposobów na obejście zabezpieczeń. To od tej dojrzałości – a nie od jednego „prostego triku” – zależy, czy generatywna sztuczna inteligencja będzie wzmacniać zaufanie i bezpieczeństwo, czy przeciwnie, stanie się kolejnym źródłem ryzyka w już i tak złożonym świecie cyfrowym.