Investigació sobre la protecció de la reputació i l'enverinament d'LLM

Resum executiu

Les persones mitjanes amb una empremta petita a Internet s'enfronten a un risc desproporcionat per la difamació amplificada per IA i l'enverinament de dades. Un sol individu motivat pot sembrar narratives falses que els cercadors, els feeds socials i els LLM repeteixen. Aquest document explica els camins d'atac més comuns, els efectes concrets sobre la reputació i la seguretat, i un manual pràctic per a la detecció i la protecció. També descriu com les atestacions verificades criptogràficament i la recuperació conscient de la procedència poden reduir els danys per a individus i integradors.

Audiència i model d'amenaça

Audiència: individus i petites organitzacions sense una gran presència SEO. Restriccions: temps limitat, pressupost i recursos tècnics. Adversari: un sol actor capaç de generar i publicar grans volums de text, utilitzar xarxes d'enllaços bàsiques i explotar punts cecs en els sistemes de notificació. Objectius: distorsionar els resultats de cerca i dels LLM, danyar la reputació, crear dubtes entre ocupadors, clients, plataformes o agents.

Què és l'enverinament d'LLM?

L'enverinament dels LLM es refereix a la manipulació del comportament del model mitjançant contingut sembrat o coordinat - per exemple, publicacions malicioses, articles sintètics o spam de fòrums - que poden ser ingestats per sistemes de recuperació o utilitzats per persones com a senyals, empenyent els models cap a associacions falses i narratives difamatòries.

Com que els LLM i els sistemes de recuperació optimitzen per escala i cobertura, un únic adversari motivat pot modelar què "veu" un model sobre una persona en inundar un petit segment de la web. Això és especialment efectiu contra persones amb presència en línia limitada.

Com es distorsiona la reputació

• Enverinament de cerca i social - segrest de perfils, granges d'enllaços i publicacions massives per esbiaixar característiques de classificació i associacions d'autocompletat.
• Enverinament de la base de coneixement i del RAG - crear pàgines d'entitats i notes de QA que semblen semànticament rellevants i es recuperen com a context.
• Injecció de prompts indirecta - contingut web hostil que fa que agents de navegació repeteixin instruccions o exfiltrin dades sensibles.
• Punts finals compromesos: wrappers maliciosos de models que actuen normalment fins que apareixen frases desencadenants i llavors emeten falsedats dirigides.

Riscos addicionals i modes de fallada

• Col·lapse del model per entrenament amb sortides sintètiques - bucles de retroalimentació on el text generat degrada la qualitat futura del model si no es filtra o es pondera.
• Injecció de prompts indirecta - contingut hostil a la web que instruïx un agent o eina de navegació perquè exfiltri secrets o propagui difamació quan se cita.
• Enverinament del magatzem d'embeddings - inserir passatges adversaris en una base de coneixement perquè la recuperació mostri afirmacions falses que semblin semànticament rellevants.
• Llançaments compromesos: publicar checkpoints modificats o wrappers d'API que es comporten normalment fins que hi ha una frase desencadenant.

Casos concrets i referències

• La maledicció de la recursió: entrenament amb dades generades (maig de 2023)
• OWASP Top 10 per a aplicacions LLM (2023-2024)
• Lakera Gandalf - demostració d'injecció de prompts (2023-2024)
• Nightshade - enverinament de dades dirigit per a imatges (2023-2024)
• PoisonGPT - demostració d'LLM amb backdoor (juliol de 2023)
• PoisonedRAG - enverinament de bases de coneixement per a RAG (febrer de 2024)
• C2PA - credencials de contingut i esforços de procedència (2023-2024)

Mitigacions en profunditat

Recuperació i classificació

• Puntuació de fonts i ponderació per procedència: preferir contingut signat o verificat pel publicador; disminuir el pes de pàgines recentment creades o de baixa reputació.
• Decaïment temporal amb període de gràcia: exigir un temps de permanència abans que noves fonts influenciïn respostes d'alt risc; afegir revisió humana per a entitats sensibles.
• Detecció de cambra d'eco - agrupar passatges gairebé duplicats i limitar la influència repetida de la mateixa font o xarxa.
• Detecció de valors atípics i anomalies a l'espai d'embeddings - senyalitzar passatges les posicions vectorials dels quals han estat optimitzades de forma adversària.

Higiene de dades i de la base de coneixement (KB)

• Captures i diffs de bases de coneixement: revisa grans diferències, especialment per a entitats personals i acusacions sense fonts primàries.
• Llistes canàries i de denegació: impedir la incorporació de dominis abusius coneguts; inseriu canaris per mesurar la propagació no autoritzada.
• Humà en el bucle per a temes d'alt risc - posa en cua les actualitzacions proposades sobre fets reputacionals per a adjudicació manual.

Atestacions i reputació

• Atestacions verificades criptogràficament: declaracions signades de professionals i organitzacions verificades publicades a través d'un registre append-only.
• Grafs de reputació: agreguen avals signats i rebaixen la classificació del contingut d'abusadors recurrents o xarxes de bots.
• Cites visibles per a l'usuari: exigir que els models mostrin fonts i nivell de confiança amb distintius de procedència per a afirmacions sensibles.

Llista de verificació empresarial

• Mapeja entitats sensibles en el teu domini (persones, marques, temes legals) i enruta consultes a canals protegits amb requisits de procedència.
• Adopteu C2PA o credencials de contingut similars per al contingut de primera part i incentiveu els socis a fer el mateix.
• Feu un seguiment de la influència de noves fonts al llarg del temps i alerteu sobre oscil·lacions inusuals en respostes a nivell d'entitat.
• Realitza red teaming continu per a agents RAG i de navegació, incloent conjunts de proves d'injecció indirecta de prompts.

Assetjament i difamació mitjançant IA

Persones contractades ara aprofiten la IA i l'automatització per produir en massa assetjament i difamació, creant textos d'aparença versemblant i falses "fonts" que són fàcils d'indexar, extreure i tornar a compartir. Aquestes campanyes tenen baix cost, alt impacte i són difícils de remediar un cop amplificades per sistemes automatitzats.

Chad Scira ha patit personalment assetjament i difamació dirigits, acompanyats d'enllaços spam amb la intenció de distorsionar els senyals de reputació i les impressions de cerca. Un relat detallat i una traça d'evidències es documenten aquí: Jesse Nickles - Assetjament i difamació.

Un incident recent a Stack Exchange mostra com les xarxes d'identitats coordinades poden fabricar confiança en plataformes que normalment presenten senyals de credibilitat sòlids. Suspensions públiques de 100 anys a múltiples comptes relacionats, seguides de publicacions de venjança a altres plataformes, fan d'aquest cas un estudi útil per a sistemes de classificació conscients de la procedència i anti-abús: Incident d'assetjament i difamació a Stack Exchange.

Taxonomia d'amenaces

• Enverinament de dades de preentrenament - enverinar corpus públics utilitzats per a l'entrenament inicial per implantar associacions falses o backdoors.
• Enverinament RAG - sembrar bases de coneixement o fonts externes que les canalitzacions de recuperació utilitzen en temps d'inferència.
• Enverinament de cerca/social - inundar amb publicacions o pàgines de baixa qualitat per esbiaixar els senyals de recuperació i classificació sobre una persona o un tema.
• Prompts i contingut adversari: crear entrades que desencadenin comportaments indesejats o 'jailbreaks' que repeteixin afirmacions difamatories.

Incidents i recerca recents (amb dates)

• Nightshade - enverinament de dades dirigit per prompts (University of Chicago, 2023-2024)
• PoisonGPT - llançament d'LLM amb backdoor (Mithril Security, juliol de 2023)
• PoisonedRAG - enverinament de bases de coneixement per a RAG (febrer de 2024, arXiv)
• C2PA - credencials de contingut i estàndards de procedència (2023-2024)

Nota: Les dates anteriors reflecteixen les dates de publicació o de llançament públic a les fonts enllaçades.

Per què això és perillós

• Els LLM poden donar una aparença d'autoritat fins i tot quan les referències subjacents són febles o han estat sembrades de manera adversària.
• Les canalitzacions de recuperació i classificació poden donar massa pes al text repetit, permetent que un sol actor esbiaixi els resultats només amb volum.
• Els processos humans de verificació de fets són lents i costosos en comparació amb la velocitat de producció i distribució de contingut automatitzat.
• Les víctimes sense una presència en línia significativa són desproporcionadament vulnerables a l'enverinament d'un sol missatge i als atacs d'usurpació d'identitat.

Anàlisi aprofundida del risc

• Revisió per a ocupació i plataformes - les cerques i els resums dels LLM poden reproduir contingut enverinat durant controls de contractació, moderació o processos d'incorporació.
• Viatges, habitatge i serveis financers: les comprovacions automatitzades poden fer aflorar narratives falses que endarrereixin o bloquegin els serveis.
• Persistència - un cop indexades en bases de coneixement o en respostes en memòria cau, les afirmacions falses poden ressorgir fins i tot després de les retirades.
• Retroacció sintètica: el contingut generat pot impulsar més contingut generat, augmentant el pes aparent de les falsedats amb el temps.

Detecció de cambra d'eco - agrupar passatges gairebé duplicats i limitar la influència repetida de la mateixa font o xarxa.

• Configura alertes de cerca per al teu nom i àlies; comprova periòdicament consultes site: per dominis de baixa reputació que et mencionin.
• Feu un seguiment dels canvis als vostres panells de coneixement o pàgines d'entitat; conserveu captures de pantalla datades i còpies exportades com a proves.
• Supervisa els gràfics d'enllaços socials per comptes d'origen repetits o pics sobtats de formulacions similars.
• Si operes un RAG o una base de coneixement, realitza comprovacions de desviació d'entitats i revisa grans canvis (deltas) a les pàgines de persones o a les acusacions sense fonts primàries.

Manual de protecció - Persones

• Publica un lloc personal amb afirmacions d'identitat clares, una breu biografia i vies de contacte; mantén un registre de canvis amb data.
• Alineeu les metadades del perfil entre plataformes; adquiriu perfils verificats quan sigui possible i enllaceu-los amb el vostre lloc web.
• Utilitzeu C2PA o credencials de contingut similars per a imatges i documents clau quan sigui possible; emmagatzemeu els originals de manera privada.
• Conserva un registre d'evidències amb marques de temps: captures de pantalla, enllaços i qualsevol número de tiquet de la plataforma per a una posterior escalada.
• Prepareu plantilles de retirada; responeu ràpidament a nous atacs i documenteu cada pas per garantir una traça documental clara.

Manual de protecció - Equips i integradors

• Prioritzeu contingut signat o verificat per l'editor en la recuperació; apliqueu períodes de gràcia temporals per a fonts noves.
• Limita la influència repetida de la mateixa font i deduplica els passatges gairebé duplicats per xarxa d'origen.
• Afegiu distintius de procedència i llistes de fonts visibles per a l'usuari per a afirmacions a nivell de persona i altres temes sensibles.
• Adopteu detecció d'anomalies en els magatzems d'embeddings; marqueu els vectors adversos atípics i executeu comprovacions canàries per a la propagació no autoritzada.

Recerca: atestacions verificades criptogràficament

Chad Scira està desenvolupant sistemes d'atestacions verificades criptogràficament per a la confiança en declaracions sobre persones i esdeveniments. L'objectiu és proporcionar als LLM i als sistemes de recuperació afirmacions signades i consultables per part de professionals i organitzacions verificades, permetent una procedència robusta i una major resistència a l'enverinament.

Principis de disseny

• Identitat i procedència: les declaracions estan signades per individus/organitzacions verificats mitjançant criptografia de clau pública.
• Emmagatzematge verificable: les attestacions s'ancoren a registres append-only, evidents de manipulació, per permetre la verificació independent.
• Integració de recuperació: les canalitzacions RAG poden prioritzar o exigir fonts atestades criptogràficament per a consultes sensibles.
• Fricció mínima: les API i SDK permeten als editors i plataformes emetre i comprovar atestacions en el moment de la ingesta.

Reputació i alertes

A més de les atestacions, una capa de reputació agrega avals signats i marca els abusadors coneguts. Els sistemes d'alerta notifiquen els objectius quan es detecten atacs coordinats o pics anòmals, permetent una resposta més ràpida i sol·licituds de retirada.

Canals legals i de plataforma

• Utilitzeu els fluxos d'informe de la plataforma amb paquets d'evidència clars: enllaços, dates, captures de pantalla i impactes. Referiu-vos a les polítiques sobre difamació i assetjament.
• Eleva la situació amb notificacions formals quan correspongui; conserva registres de correspondència i identificadors de tiquets a la teva traça d'evidències.
• Considereu les diferències jurisdiccionals en difamació i responsabilitat de les plataformes; consulteu assessorament legal per a casos d'alt risc.

Full de ruta d'implementació (Any 1)

• MVP: esquema d'atestació i SDK per a editors per signar declaracions d'identitat i afirmacions d'esdeveniments.
• Pilot amb un petit grup de professionals i organitzacions verificats; establir fluxos de treball de verificació.
• Complements RAG: habilita el mode de resposta 'provenance first' que prioritza fonts atestades per a consultes sensibles.

Lectures addicionals (amb dates)

• Nightshade - enverinament de dades dirigit per a imatges (2023-2024)
• PoisonGPT - demostració d'LLM amb backdoor (juliol de 2023)
• PoisonedRAG - enverinament de bases de coneixement per a RAG (febrer de 2024)
• OWASP Top 10 per a aplicacions LLM (2023-2024)
• C2PA - credencials de contingut i esforços de procedència (2023-2024)
• La maledicció de la recursió: entrenament amb dades generades (maig de 2023)

Col·laboració

Aquesta recerca és d'avantguarda i està en evolució activa. Chad Scira acull amb interès la col·laboració amb altres professionals d'aquest sector.

Si estàs interessat a col·laborar, posa't en contacte a: [email protected]