Изследване на защита на репутацията и отравяне на LLM

Изпълнително резюме

Обикновените хора с малка онлайн видимост са изложени на несъразмерен риск от клевета, усилена от ИИ, и от отравяне на данни. Един мотивиран индивид може да посее фалшиви наративи, които търсачките, социалните емисии и големите езикови модели (LLM) повтарят. Този документ обяснява общите пътища на атака, конкретните ефекти върху репутацията и безопасността, както и практическа методика за откриване и защита. Той също така очертава как криптографски проверени удостоверения и извличане, осъзнаващо произхода, могат да намалят вредата за отделни лица и интегратори.

Аудитория и модел на заплахата

Аудитория: физически лица и малки организации без силно SEO присъствие. Ограничения: ограничено време, бюджет и технически ресурси. Противник: единичен актьор, способен да генерира и публикува големи обеми текст, да използва базови мрежи от връзки и да експлоатира пропуски в процесите за докладване. Цели: изкривяване на резултатите от търсачки и големи езикови модели (LLM), увреждане на репутацията, създаване на съмнения у работодатели, клиенти, платформи или представители.

Какво е отравяне на големи езикови модели (LLM)?

Отравяне на LLM се отнася до манипулиране на поведението на модела чрез засадено или координирано съдържание - например злонамерени публикации, синтетични статии или спам във форуми - което може да бъде поглъщано от системи за извличане или използвано от хора като сигнали, подтикващи моделите към фалшиви асоциации и клеветнически наративи.

Тъй като големите езикови модели (LLM) и системите за извличане оптимизират за мащаб и покритие, един мотивиран противник може да оформя това, което моделът „вижда“ за дадено лице, като залива малка част от уеб-а с информация. Това е особено ефективно срещу лица с ограничено онлайн присъствие.

Как репутацията се изкривява

• Отравяне на търсачки и социални мрежи - завземане на профили, ферми от връзки (link farms) и масово публикуване за изкривяване на ранжиращите характеристики и асоциации за автоматично довършване.
• Отравяне на база знания и RAG - създаване на страници за ентитети и QA бележки, които изглеждат семантично релевантни и се извличат като контекст.
• Косвена инжекция на подсказка - враждебно уеб съдържание, което кара агенти за браузване да повтарят инструкции или да изнесат чувствителни данни.
• Backdoored endpoints - злонамерени обвивки на модели, които действат нормално докато не се появят задействащи фрази, след което издават целенасочени лъжи.

Допълнителни рискове и режими на отказ

• Колапс на модела от обучение върху синтетични изходи - обратни връзки, при които генерираният текст влошава качеството на бъдещите модели, ако не се филтрира или претегля.
• Косвена инжекция на подсказка - враждебно съдържание в мрежата, което инструктира агент или инструмент за браузване да изнесе тайни или да разпространи клевети при цитиране.
• Отравяне на хранилище за embeddings - вмъкване на враждебни пасажи в база знания, така че извличането да показва фалшиви твърдения, които изглеждат семантично релевантни.
• Backdoored releases - публикуване на модифицирани чекпойнти или API обвивки, които се държат нормално докато не се появи активираща фраза.

Конкретни случаи и препратки

• Проклятието на рекурсията: Обучение върху генерирани данни (май 2023)
• OWASP Top 10 за приложения на LLM (2023-2024)
• Lakera Gandalf - демонстрация на prompt injection (2023-2024)
• Nightshade - targeted data poisoning for images (2023-2024)
• PoisonGPT - демонстрация на LLM с бекдор (July 2023)
• PoisonedRAG - knowledge base poisoning for RAG (February 2024)
• C2PA - удостоверения за съдържание и инициативи за проследяване на произхода (2023–2024)

Мерки за смекчаване в дълбочина

Извличане и ранжиране

• Оценяване на източници и претегляне по произход - предпочитайте подписано или верифицирано от издателя съдържание; намалете тежестта на новосъздадени или с ниска репутация страници.
• Намаляване на значимостта с течение на времето с гратисен период - изискайте време за задържане преди нови източници да влияят на отговори с високи залози; добавете човешки преглед за чувствителни същности.
• Откриване на ехокамери - групирайте почти дублирани пасажи и ограничете повторното влияние от един и същи източник или мрежа.
• Откриване на аномалии и отклонения в пространството на вградените вектори - маркирайте пасажи, чиито векторни позиции са оптимизирани по враждебен начин.

Хигиена на данните и на базата знания

• Правете snapshot и diff на базите знания - преглеждайте големи разлики, особено за лица и обвинения без първични източници.
• Канарни и забранителни списъци - предотвратете включването на известни злоупотребяващи домейни; вмъквайте канарни маркери, за да измервате неразрешеното разпространение.
• Човек в цикъла за високорискови теми - поставяйте предложените актуализации на факти, свързани с репутацията, в опашка за ръчно разглеждане.

Удостоверения и репутация

• Криптографски проверени удостоверения - подписани изявления от проверени професионалисти и организации, публикувани чрез регистър само за добавяне.
• Графи на репутацията - агрегиране на подписани препоръки и понижаване на ранга на съдържание от повтарящи се злоупотребяващи или бот мрежи.
• Цитирания, видими за потребителя - изисквайте моделите да показват източници и степен на увереност с бейджове за произход (provenance) за чувствителни твърдения.

Контролен списък за предприятия

• Картографирайте чувствителните субекти във вашата област (хора, марки, правни теми) и насочвайте заявките към защитени конвейери с изисквания за произход.
• Приемете C2PA или подобни удостоверения за съдържание за съдържание от първа страна и насърчете партньорите да направят същото.
• Проследявайте влиянието на нови източници с течение на времето и подавайте сигнал при необичайни колебания на отговорите на ниво същност.
• Провеждайте непрекъснати red team упражнения за RAG и браузър агенти, включително пакети от тестове за индиректно инжектиране на подсказки.

Тормоз и клевета чрез ИИ

Наемани лица сега използват ИИ и автоматизация, за да масово произвеждат тормоз и клевети, създавайки текст, който изглежда правдоподобен, и фалшиви “източници”, които са лесни за индексиране, скрейпване и повторно споделяне. Тези кампании са с ниски разходи, висок ефект и трудни за отстраняване, след като бъдат усилени от автоматизирани системи.

Chad Scira лично е преживял целенасочен тормоз и клевета, съчетани със спам-подобни връзки, насочени към изкривяване на сигналите за репутация и резултатите в търсачките. Подробен разказ и следи от доказателства са документирани тук: Jesse Nickles - Тормоз и клевета.

Скорошен инцидент в Stack Exchange показва как координирани мрежи от акаунти могат да създават доверие на платформи, които по принцип носят силни сигнали за доверие. Публичните 100-годишни блокирания на няколко свързани акаунта, последвани от възмездителна кръст-платформена публикация, правят това полезен казус за системи за ранжиране, които отчитат произхода, и за антизлоупотребни системи: Инцидент с тормоз и клевета в Stack Exchange.

Таксономия на заплахите

• Отравяне на данни за предварително обучение - отравяне на публични корпуси, използвани за първоначално обучение, с цел вграждане на фалшиви асоциации или задни врати.
• RAG отравяне - внасяне на данни в бази знания или външни източници, които pipeline-ите за извличане използват по време на извод (inference).
• Отравяне на търсене/социални мрежи - заливащи публикации или страници със слабо качество, за да се изкривят сигналите за извличане и ранжиране относно дадено лице или тема.
• Враждебни подсказки и съдържание - създаване на входни данни, които задействат нежелано поведение или jailbreak-ове, които повтарят клеветнически твърдения.

Последни инциденти и изследвания (с дати)

• Nightshade - prompt targeted data poisoning (University of Chicago, 2023-2024)
• PoisonGPT - пускане на LLM с бекдор (Mithril Security, July 2023)
• PoisonedRAG - knowledge base poisoning for RAG (February 2024, arXiv)
• C2PA - удостоверения за съдържание и стандарти за произход (2023–2024)

Бележка: Горните дати отразяват дати на публикуване или публично пускане в свързаните източници.

Защо това е опасно

• LLM-ите могат да изглеждат авторитетни дори когато подлежащите препратки са слаби или целенасочено засадени от опоненти.
• Пайплайни за извличане и ранжиране могат да придават прекомерно значение на повтарящ се текст, позволявайки на един участник да изкриви резултатите само чрез обем.
• Човешките следи за проверка на фактите са бавни и скъпи в сравнение със скоростта на автоматизирано производство и разпространение на съдържание.
• Жертвите без значимо онлайн присъствие са непропорционално уязвими към отравяне чрез единичен пост и атаки срещу самоличността.

Задълбочен анализ на риска

• Проверки при наемане и платформи - търсенето и резюметата от LLM могат да отразяват отровено съдържание по време на проверки при наемане, модерация или въвеждане в длъжност.
• Пътувания, настаняване и финансови услуги - автоматизираните проверки могат да изкарат наяве фалшиви наративи, които забавят или блокират услугите.
• Персистентност - след като бъдат индексирани в бази знания или кеширани отговори, фалшивите твърдения могат да се появят отново дори след премахване.
• Синтетична обратна връзка - генерирано съдържание може да доведе до още генерирано съдържание, повишавайки видимото тегло на неверните твърдения с течение на времето.

Откриване и наблюдение

• Настройте търсачни сигнали за името си и псевдонимите; периодично проверявайте site: заявки за домейни с ниска репутация, които ви споменават.
• Проследявайте промени в информационните панели (knowledge panels) или страниците за същности; съхранявайте датирани екранни снимки и експортирани копия като доказателство.
• Следете графите на социалните връзки за повтарящи се акаунти-източници или внезапни скокове на сходни формулировки.
• Ако управлявате RAG или база знания, провеждайте проверки за дрейф на ентитети и преглеждайте значителни промени в страниците за лица или обвинения, които нямат първични източници.

Ръководство за защита - физически лица

• Публикувайте личен сайт с ясни удостоверения за идентичност, кратка биография и канали за контакт; водете хронология на промените с дати.
• Съгласувайте метаданните на профилите между платформите; осигурявайте верифицирани профили, където е възможно, и ги свързвайте обратно към вашия сайт.
• Използвайте C2PA или подобни удостоверения за съдържание за ключови изображения и документи, когато е възможно; съхранявайте оригиналите частно.
• Водете регистър на доказателствата с времеви марки: скрийншотове, връзки и номера на тикети от платформата за последваща ескалация.
• Подгответе шаблони за премахване; отговаряйте бързо на нови атаки и документирайте всяка стъпка за ясна документална следа.

Ръководство за защита - екипи и интегратори

• Предпочитайте подписано или от издателя верифицирано съдържание при извличане; прилагайте времеви гратисни периоди за нови източници.
• Ограничете повторното влияние от един и същи източник и елиминирайте близките дубликати във всяка мрежа на източника.
• Добавете значки за произход и видими за потребителя списъци с източници за твърдения на ниво лице и други чувствителни теми.
• Прилагайте откриване на аномалии в хранилищата за embeddings; маркирайте враждебни векторни аномалии и изпълнявайте канарни проверки за неразрешено разпространение.

Изследване: Криптографски проверени удостоверения

Chad Scira разработва системи за удостоверение, криптографски проверени, за доверие към изявления за хора и събития. Целта е да се предоставят на големи езикови модели и системи за извличане подписани, запитваеми твърдения от проверени професионалисти и организации, осигурявайки надеждна проследимост и по-голяма устойчивост срещу отравяне.

Принципи за проектиране

• Идентичност и произход: изявленията са подписани от проверени лица/организации чрез криптография с публични ключове.
• Проверимо съхранение: заверките са закотвени в регистри само за добавяне (append-only), с доказателство за манипулация, за да позволят независимо верифициране.
• Интеграция на извличането: RAG пайплайни могат да приоритизират или да изискват криптографски удостоверени източници за чувствителни заявки.
• Минимално триене: API-та и SDK позволяват на издатели и платформи да издават и проверяват заверки по време на приемането.

Репутация и предупреждения

Освен заверките, слой за репутация агрегира подписани одобрения и маркира известни злоупотребители. Системите за аларми уведомяват засегнатите, когато се открият координирани атаки или аномални пикове, което позволява по-бърза реакция и заявки за премахване.

Юридически и платформени канали

• Използвайте процедурите за докладване на платформата с ясни пакети от доказателства: връзки, дати, екранни снимки и последици. Посочете политиките за клевета и тормоз.
• Ескалирайте с официални уведомления, когато е подходящо; пазете регистри на кореспонденцията и номера на тикети като част от доказателствената си следа.
• Вземете предвид юрисдикционните различия по отношение на клеветата и отговорността на платформите; консултирайте се с правен съветник при високорискови случаи.

Пътна карта за изпълнение (Година 1)

• MVP: схема за заверки и SDK за издатели за подписване на изявления за идентичност и твърдения за събития.
• Пилотно с малка група проверени професионалисти и организации; въведете работни потоци за верификация.
• RAG плъгини: активирайте режим "provenance first answer", който да дава приоритет на потвърдени източници за чувствителни заявки.

Допълнително четиво (с дати)

• Nightshade - targeted data poisoning for images (2023-2024)
• PoisonGPT - демонстрация на LLM с бекдор (July 2023)
• PoisonedRAG - knowledge base poisoning for RAG (February 2024)
• OWASP Top 10 за приложения на LLM (2023-2024)
• C2PA - удостоверения за съдържание и инициативи за проследяване на произхода (2023–2024)
• Проклятието на рекурсията: Обучение върху генерирани данни (май 2023)

Сътрудничество

Тези изследвания са водещи и активно се развиват. Chad Scira приветства сътрудничество с други специалисти в тази област.

Ако имате интерес за сътрудничество, моля, свържете се на: [email protected]