Preden posredujete interni dokument, ki ga je prejelo na tisoče ljudi v podjetju, dobro premislite! Danes je mogoče izdelati na tisoče malenkost prilagojenih dokumentov, ki takoj razkrijejo žvižgača. Več kot stoletje staro metodo je umetna inteligenca močno nadgradila.
Na spletni strani The Centurion Project, ki so jo aprila letos vzpostavile desničarske organizacije v kanadski provinci Alberta (Take Back Alberta, Republican Party of Alberta, Alberta Prosperity Project, Stay Free Alberta), ki si prizadevajo za njeno neodvisnost, so aprila letos objavili osebne podatke 2,9 milijona volivcev. Sodišče je hitro izdalo odredbo, da morajo volilni imenik odstraniti s spleta, vendar je to bil šele začetek zgodbe. Od kod je spletna stran pridobila volilni imenik iz junija 2025, na katerem so bili osebni podatki vseh volilnih upravičencev iz te province?
Primeri kanarčkov za zaznavanje nepooblaščenega dostopa.
Volilna komisija (Elections Alberta) je sporočila, da gre za seznam, ki ga je prejela republikanska stranka v Alberti, kar je slednja hitro zanikala. V Kanadi so nekatere organizacije upravičene do volilnih imenikov, med njimi tudi politične stranke, vendar za rokovanje s temi imeniki veljajo stroga pravila. Ne smejo jih prosto razpečevati, objavljati na spletu ali deliti z nepooblaščenimi osebami.
Sodišče je izdalo več odredb, ki so poleg umika seznama določale tudi, da mora The Centurion Project sodišču razkriti, kdo je imel dostop do imenika, republikanska stranka pa imenika ne sme deliti z nepooblaščenimi osebami. Sodnik je ob tem dejal, da gre za »izjemno osebne« podatke in da je situacija resna. Kako je The Centurion Project dobil volilni imenik, ni jasno, z gotovostjo pa volilna komisija trdi, da so ga dobili od republikanske stranke. Izdal jih je namreč kanarček.
Volilna komisija ni zaznala nobenih vdorov v svoje sisteme, iz katerih bi lahko hekerji ukradli volilni imenik. Namesto tega so v pobeglem imeniku odkrili lažne vnose, ki jih je komisija vnesla nalašč. Ker je dostop do imenika omogočen več akterjem, ti pa morajo z njim ravnati odgovorno, komisija vsakemu izroči svojo kopijo. Te se med seboj razlikujejo po nekaj dodatnih, lažnih vnosih, kar omogoča identifikacijo izvora. V tem primeru je bila to kanadska republikanska stranka v Alberti, ki še vedno vztraja, da imenik ni ušel njej.
Kanarček kot past
Zamisel ni nova, temveč ima že dolgo brado. Kadar želimo ugotoviti, od kod je pobegnil kakšen dokument, seznam ali podatkovna baza, moramo vanjo podtakniti past v obliki kanarčka (canary trap). To so majhne razlike med verzijami, ki jih prejmejo različni akterji, ne da bi to vedeli. Pri seznamih in bazah je to razmeroma preprosto, saj vsebujejo na tisoče ali milijone vnosov, med katere ni težko podtakniti lažnih. Težje je kanarčke vtkati v poročila in druge dokumente, a – paradoksalno – z umetno inteligenco to postaja vse bolj enostavno.
Pasti so različnih vrst in oblik, odvisno od izvornega dokumenta. Prvi so jih začeli uporabljati založniki slovarjev in zemljevidov, kjer je kopiranje resnično težko prepoznati, saj načeloma prikazujejo eno resničnost. Konkurenca bo tudi po legitimni poti prišla do istega izdelka, zato je težko dokazati nezakonito kopiranje, razen če v svojo verzijo česa ne podtaknemo. Zemljevidi so imeli lažne ulice (trap street) ali neobstoječa mesta. Če so se pojavili v konkurenčnem zemljevidu, je bilo jasno, da ga je izdajatelj skopiral.
Kanarčki svobode
Ko organi pregona ali obveščevalne službe od ponudnikov storitev, denimo elektronske pošte, spletnega gostovanja ali platform družbenih omrežij in hipnega sporočanja, zahtevajo izročitev podatkov, pogosto pripnejo še prepoved razkrivanja (gag order). Ponudnik storitve mora izročiti podatke, hkrati pa oseb, na katere se podatki nanašajo, o tem ne sme obvestiti. Te nimajo pojma, kaj se je zgodilo, obenem pa pogosto storitev še naprej uporabljajo.
Sorodna vrsta kanarčkov se uporablja za reševanje te zagate, ki temelji na preprosti ideji: država vam lahko zapove, česa ne smete povedati, ne more pa vas prisiliti, da nekaj javno izjavite, še zlasti če to ne drži. Kanarček za odredbe (warrant canary) je izjava, ki jo organizacija objavi in v njej zapiše, da ni izvedla določenih dejanj ali izpolnila odredb organov pregona, zlasti o izročanju podatkov. Če organizacija takšno zahtevo prejme, kanarčka odstrani. To je indic, da je bila prisiljena izročiti podatke, a da tega ne sme potrditi. Kanarček se lahko nanaša na celotno storitev ali pa ima vsak uporabnik svojega.
Eden zgodnjih primerov je star dve desetletji. V knjižnici v Vermontu je že leta 2005 visel napis »FBI-ja tukaj ni bilo«. Če bi znak izginil, bi bilo vsem jasno, kaj se je morda zgodilo. Enega prvih digitalnih kanarčkov je leto pozneje vzpostavi ponudnik storitev v oblaku rsync.net, ki se še danes vsak teden posodobi, objavljen pa je s podpisom PGP. Za boljši pregled je bilo vzpostavljenih več spletnih strani, ki spremljajo kanarčke posameznih organizacij, a so zaradi pomanjkanja standardizacije večinoma že nehale delovati.
Eden bolj znanih primerov je organizacija Riseup, ki nudi varno elektronsko pošto, strežnike VPN in podobno. Novembra 2016 se je v njihovem kanarčku znašla drobna, a očitna napaka v podpisu, ki je niso popravili, niti se niso odzivali na vprašanja. Februarja 2017 so razkrili, da so novembra 2016 prejeli dve tajni odredbi od FBI za izročitev podatkov. Tudi Reddit je leta 2016 iz poročila za preteklo leto umaknil navedbe, da ni prejel nobene odredbe za izročitev podatkov. Kaj to pomeni, je jasno.
Zakonitost kanarčkov na ameriških sodiščih še ni bila preverjena, nekateri pravi strokovnjaki pa trdijo, da ima prenehanje objavljanja kanarčkov enake posledice kot razkritje obstoja tajne odredbe. Drugi pravniki poudarjajo, da država nikogar ne more prisiliti v javno izrekanje česarkoli. V vseh primerih pa velja, da so kanarčki lahko učinkoviti le, če jih organizacije začno objavljati, preden prejmejo odredbo.
Papirni kanarček v knjižnici
Rsync.net že 20 let objavlja kanarčke.
Slovarji so vsebovali fiktivne besede, v nekaterih primerih tudi po nesreči. Tak primer je beseda dord v Websterjevem angleškem slovarju iz leta 1934, ki naj bi pomenila gostoto. Odkrili so jo šele leta 1939, dokončno odstranili pa leta 1947. V slovarju se je znašla, ker je na listku pisalo D or d, density, kar je urednik napačno prebral kot dord. Namenoma fiktivna beseda pa je esquivalience, ki jo je leta 2001 New Oxford American Dictionary dodal za zaščito elektronske verzije slovarja in naj bi pomenila namerno izogibanje uradnim dolžnostim, prevzeto iz francoske besede esquiver. Čeprav so jo leta 2005 razkrinkali kot lažno, se je tudi v kasnejših letih pojavila v nekaterih besedilih.
Podobno vlogo imajo še vodni žigi (watermarks) na slikah, kar je spet relevantno zaradi generacije z umetno inteligenco, steganografsko skrivanje sporočil v slikah, označevanje videoposnetkov in filmov ter podobno.
Vidimo, da gre za staro taktiko, ki pa je moderno ime dobila leta 1987. Pisatelj Tom Clancy je v trilerju Patriotske igre (Patriot Games) prvi uporabil izraz past s kanarčkom (canary trap). Uporablja se tudi izraz barijev obrok (barium meal test), ki izvira iz medicine. Z rentgenskim slikanjem se na ta način diagnosticirajo nepravilnosti v zgornjih prebavilih, saj se jih popiti barijev sulfat oprime, kar nudi kontrast za slikanje.
Kanarčki v praksi
Za vohunske igre javnost običajno ne izve, za kanarčke v korporativnem svetu pa. Elon Musk je leta 2008 v Tesli na tak način skušal najti zaposlene, ki razkrivajo interne dokumente javnosti, zato jim je poslal neopazno personalizirana elektronska sporočila z novo pogodbo o nerazkrivanju (NDA). Spremljevalno elektronsko sporočilo se je malenkost razlikovalo pri vsakem prejemniku (npr. uporaba I am ali I'm), Musk pa je pričakoval, da ga bo kdo posredoval novinarjem. Ker Musk svoje namere ni razkril niti najbližjim sodelavcem, je glavni pravnik Craig Harding zaposlenim poslal svojo verzijo sporočila. Vsi zaposleni so tako opazili razliko, hkrati pa so imeli Hardingovo verzijo, ki so jo lahko brez zadržkov poslali javnosti. In to so tudi storili, mediji pa so privoščljivo poročali, da je očitno tokrat žvižgač kar vodja pravne službe.
Zakaj kanarčki
Poimenovanje kanarček izvira iz angleške fraze kanarček v rudniku premoga (canary in a coal mine), ki ima zelo resnični izvor. Kanarčki so bolj občutljivi na strupene pline, kot sta ogljikov monoksid ali metan, ki lahko napolnijo rudnike. Zato so jih rudarji prinesli v rudnike in jih opazovali, da so lahko pravočasno zapustili prostor.
Kanarčke so na ta način začeli uporabljati konec 19. stoletja, dokler niso rudnikov opremili z modernimi detektorskimi sistemi za zaznavanje plinov. Kanarčki so izjemno občutljivi na strupene pline, ker imajo hiter metabolizem, malo maso in naglo dihanje. Njihov srčni utrip je okoli 280 udarcev na minuto, vsa kri pa zaokroži skozi pljuča v sekundi ali dveh. Pri človeku traja približno minuto, da vsa kriv steče skozi pljuča in izmenja pline z okolico. Še predno bi vdihavanje strupenih plinov trajno škodovalo ljudem, so kanarčki v nekaj sekundah že močno prizadeti ali mrtvi.
Kanarček v kletki pred vstopom v rudnik leta 1928.
Še bolj zabaven primer sega v leto 2019, ko je britanska zvezdnica Coleen Rooney ugotavljala, da nekdo objave z njenega zasebnega profila na Instagramu posreduje časniku The Sun. Iskanja se je lotila tako, da je novim objavam omejila vidnost, in ko se je tudi tista, ki jo je videla le Rebekah Vardy, znašla v časopisu, je krivca odkrila. Zgodba se je nadaljevala celo na sodišču, tako resni so problemi višjega sloja prvega sveta.
Apple je leta 2023 odpustil enega izmed zaposlenih, ker je javnosti posredoval informacije o prihajajočih verzijah programske opreme. Tudi njega so odkrili, ker so zaposleni dobili prilagojeno elektronsko pošto z različnimi kombinacijami.
Vabe in žetoni
Vrsta kanarčkov so tudi vabe (canary token), ki jih najbolje poznamo iz klišejskih hollywoodskih filmov, ko v vreči denarja po ropu raznese barvo. Vabe v sistemih so objekti, ki jih legitimni uporabnik ne more imeti ali dobiti, saj nima nobene potrebe po njihovi uporabi. To so lahko lažni ključi, API-ji, dokumenti, naslovi, uporabniški računi, prijavni podatki itd. Kot vabe lahko služijo tudi celotni sistemi (honeypots), na primer lažna Ciscova stikala ali strežniki z Windows.
Da napadalec vstopi v takšno vabo, ni težko ugotoviti, ker legitimnih vstopov ni. Administratorji lahko nato spremljajo njihovo obnašanje, torej kaj jih zanima, katere pristope uporabljajo, kam se želijo povezati in s kom komunicirajo. Ko napadalec vstopi v sistem, na primer uporabi lažen ključ ali prijavne podatke, sistem samodejno obvesti administratorje.
Glede na velikost in način delovanja ločimo lažne sisteme (honeypots) in kanarčke (canary token), ki imajo soroden namen, a uporabljajo drugačen pristop. Medtem ko se sistem pretvarja, da je sam vreden vdora, je kanarček vsajen v legitimne datoteke. Lažne sisteme uporabljamo za študij delovanja napadalcev, kanarčke pa za hitro obvestilo o napadu. Slednji so torej prikriti alarmni sistemi, ki se sprožijo, ko napadalec uporabi objekt (kanarčka). Pri tem je treba biti previden, saj lahko napadalec kanarčka prepozna ali ga iz kakšnega drugega razloga ne sproži. Neaktiviran kanarček torej ni dokaz, da vdora ni, obratno pa seveda drži. Nobeni sami po sebi ne preprečujejo napadov, so pa del varnostnih strategij za zaznavanje vdorov, kar je eden izmed ukrepov za zagotavljanje kibernetske varnosti.
V praksi lahko podjetje v interni repozitorij Git vgradi lažen ključ za dostop do AWS, ki ni namenjen uporabi in tega ne omogoča. Če ga kdo poskuša uporabiti, podjetje zazna poskus vstopa. Takšen ključ hkrati opravlja tudi drugo funkcijo kanarčka, saj njegova objava na spletu dokazuje, da je nekdo prekopiral celoten repozitorij. Funkcije kanarčkov se prepletajo, zato je enako poimenovanje uporabljeno za različne, a sorodne implementacije.
Vodni žigi
Omenimo še vodne žige, ki z generativno umetno inteligenco ponovno postajajo relevantni. Pogosto želimo dokaz ali vsaj indic, da je neko vsebino ustvaril določen sistem (denimo Gemini ali Grok). Tu ne gre za lovljenje žvižgačev ali iskanje nezakonite rabe, temveč preprosto za preverjanje avtentičnosti slik, videoposnetkov, zvočnih posnetkov ali tudi besedil. Ne zanima nas, kdo je sliko ustvaril, temveč kako je nastala.
Preprost primer so slike, ustvarjene z Googlovim Geminijem, katerega slikovni model se imenuje Nano Banana. Izdelane ali predelane fotografije imajo v brezplačni različici v spodnjem desnem kotu očiten simbol. Njegov namen je opozoriti na sintetičnost vsebine in uporabnike spodbuditi k nakupu plačljive različice, saj je tak očiten vodni žig mogoče odstraniti.
Gemini v brezplačni verziji vse slike opremi z vidnim vodnim žigom.
Googlov DeepMind – nekoč samostojno podjetje, ki ga je velikan leta 2014 kupil – razvija tehnologijo SynthID. Ta na neopazen način vstavi vodni žig v številne stvaritve (Googlove) generativne umetne inteligence. Zagotavljajo, da je vodni žig robusten in preživi tudi kasnejše manipulacije, kot so obrezovanje, dodajanje filtrov, spreminjanje barv, sprememba števila sličic v videoposnetku ali kompresija. Vse skupaj bi bilo malo uporabno brez orodja za zaznavanje vodnega žiga (SynthID Detector).
Bistveno težje je vgrajevati vodne žige v besedila, kjer praktično ni podatkov, ki bi bili očem nepomembni. Če bi šlo za ustvarjanje celotnih dokumentov PDF, bi vodni žig še lahko kam skrili, pri besedilu pa ga je treba vgraditi v samo izbiro besed oziroma slog. Da je to mogoče, so že pred dvema letoma pokazali John Kirchenbauer in sodelavci z marylandske univerze (A Watermark for Large Language Models). V besedilu lahko model statistično značilno preferira posamezne besede, kar je kasneje v analizi mogoče prepoznati. Ne gre torej za skrivno besedilo, temveč za vzorec izbire besed, ki preveva celotno besedilo. Model torej namenoma počne to, kar umetni inteligenci očitamo že danes: šablonsko pisanje. Danes smo občutljivi na dolge vezaje, mehanično oponiranje (Ne le X, temveč Y), trojne pojavitve in posamezne manj pogoste besede (v angleščini se je razširila beseda delve), a to so slabi vodni žigi, ker jih že na daleč prepoznamo. Na podoben, a bistveno bolj sofisticiran način lahko besedilo vendarle podpišemo.
Od kod je pa tale?
Včasih bi želeli vsebine, kot so videoposnetki, fotografije in dokumenti, opremiti z digitalnim rodovnikom, ki bi dokazoval njihovo provenienco. V današnjih časih bi pomislili na veriženje blokov, a že vrsto let obstaja odprti tehnični standard C2PA, ki omogoča točno to.
Februarja 2021 je zelo pisana druščina Adobe, ARM, BBC, Intel, Microsoft in Truepic, združena v koalicijo za izvor vsebin in avtentičnost oziroma C2PA (Coalition for Content Provenance and Authenticity) predlagala odprti standard za dokazovanje verige nastanka in sprememb dokumenta. Najnovejša verzija 2.3 je bila objavljena januarja, trenutno pa se usklajuje naslednja verzija (2.4).
Označevanje vsebin s C2PA vključuje tri korak: podpisovanje, vgrajevanje in preverjanje. Vsebina se podpiše ob nastanku, torej na fotoaparatu ali kameri, v programski opremi ali orodju umetne inteligence, pri čemer se za podpis uporablja zasebni ključ, ki ga izda zaupanja vreden overitelj. Podpisani manifest se nato shrani skupaj z datoteko v JUMBF (JPEG Universal Metadata Box Format), vsakršna nadaljnja sprememba pa bi razveljavila podpis, ker se zgoščena vrednost (hash) ne bi več ujemala. Ob vsakem ogledu vsebine se podpis preveri, s tem pa potrdi njena provenienca.
Glavna pomanjkljivost C2PA je krhkost podpisov, saj vsakršna manipulacija, četudi gre samo za povečavo ali izrez, avtomatično razveljavi podpis. Obdelava datotek z orodji, ki ne podpira C2PA, poruši verigo zaupanja, kar je sicer tudi namen. Vodni žigi, statistični modeli ali preprosto metapodatki (EXIF / IPTC) teh težav nimajo, a jih je mogoče z več ali manj truda pretentati. C2PA je namenjen dokazovanju avtentičnosti, kadar to hoče avtor, medtem ko so druge metode namenjene uporabnikom.
Shema delovanja C2PA.
Vodne žige morajo sistemi namerno vstaviti v izdelke. Kdor umetno inteligenco uporablja v zle namene, vodnih žigov ne bo želel in bo uporabljal modele, ki tega ne počnejo, kar pa presega okvire tega članka. V Evropski uniji Akt o umetni inteligenci v 50. členu zahteva transparentnost in obvladovanje tveganj manipulacije in zavajanja, od 2. decembra 2026 bo to tudi obvezno.
Tudi v besedilo je mogoče vgraditi vodni žig, ki dokazuje, da je bilo ustvarjeno z umetno inteligenco.
Avtomatizirani kanarčki
Vodni žigi, ki se zdijo kot zastranitev, nas vračajo h kanarčkom, ki jim je umetna inteligenca vdahnila povsem novo dimenzijo. Z generativnimi modeli umetne inteligence je mogoče pripraviti na tisoče različic dokumentov, bodisi kratkih elektronskih sporočil ali daljših poročil, ki se minimalno razlikujejo. Variira lahko že vrstni red besed, zaporedje stavkov ali odstavkov, položaj vejic (večina dokumentov ni lektoriranih), uporaba veznikov, krajšave, stičnost ločil itd. Še več možnosti se odpre s spreminjanjem posameznih besed s sopomenkami in drugimi, opaznejšimi spremembami. Na podoben način je mogoče prilagajati tudi druge vrste vsebin, denimo fotografije in videoposnetke.
V tem primeru je namen kanarčkov zgolj lovljenje morebitnega vira odtekanja, medtem ko so dokumenti še vedno faktografsko točni. Možen pa je še korak dlje, kar so pred petimi leti pokazali na Univerzi Dartmouth v New Hampshiru v okviru projekta WE-FORGE. Razvili so sistem, ki iz izvirnega dokumenta ustvari več podobnih dokumentov, ki pa so že vsebinsko napačni. Njihovo podtikanje postane osnovna taktika za zmedo nasprotnika, torej prejemnika. Če napadalci vdrejo v sistem in najdejo tovrstne dokumente, ne bodo mogli ugotoviti, kateri je pravi.
Zadnja postaja so kanarčki, ki jih ustvarjajo modeli umetne inteligence, da bi drugim modelom umetne inteligence preprečili nepooblaščeno branje oziroma ga vsaj razkrili. Gre za tako imenovane kanarčke RAG (Retrieval-Augmented Generation), ki so skriti v bazah podatkov in drugih dokumentih. V baze jih je mogoče dodati na različne načine, bodisi kot sintetične dokumente ali kot spremembe resničnih dokumentov. Če jih neupravičeno postrgajo konkurenčni modeli, bomo sledi zaznali v njihovih izdelkih, če jim postavimo prava vprašanja. Ker je skoraj nemogoče predvideti, kako se bo generativni model odzival na posamezna vprašanja (kaj šele na vsa možna), lastnik modela ne more vedeti, ali je njegov model okužen, ker je »pojedel kanarčka«.
Sistem CanaryTrace za iskanje nepooblaščene rabe baze v modelih umetne inteligence. Slika: Dataset Protection via Watermarked Canaries in Retrieval-Augmented LLMs, Yepeng Liu, Xuandong Zhao, Dawn Song, Yuheng Bu. 2025
Kanarčki niso vsemogočni
Zaključimo z neizvirnim spoznanjem, da kanarčki seveda niso vsemogočni. Sodnih primerov, kjer bi bili kanarčki ključni dokaz, praktično ni, čeprav so bili tu in tam sprožilec podrobnejših preiskav, ki so prinesle dodatne dokaze. V vsakdanjem življenju je kanarček lahko zelo prepričljiv indic, kaj se je dogajalo, a pravni standardi na sodiščih so višji.
Kanarčke je mogoče tudi obiti, odvisno od njihove izvedbe. Če se prejemniki dokumenta poznajo in ga med seboj primerjajo, bodo razlike našli. Prav tako malo pomagajo, če prejemnik dokument parafrazira ali povzame z lastnimi besedami. Skritim znakom ali metapodatkom se izognemo preprosto tako, da dokument natisnemo ali prekopiramo (kar pa lahko doda nove identifikacijske znake, kar zlasti barvni tiskalniki znajo početi). Kanarček tudi ne dokazuje, kdo je dokument razkril, temveč le, katera kopija je ušla. V pravnem smislu je ta razlika lahko zelo velika.
Umetna inteligenca bo omogočila bistveno širšo uporabo kanarčkov, saj jih bo lahko množično proizvajala. A obenem se lahko vprašamo, ali ima vse skupaj sploh še smisel, če drvimo v družbo, kjer tudi ob najhujših škandalih zamahnemo z roko, ker jih bo že čez teden dni zasenčil še hujši škandal. Pred pol stoletja je ameriški predsednik odstopil, ker so njegovo stranko zasačili pri prisluškovanju. Povedno bo opazovati posledice škandala v Alberti.
