Investigación sobre protección de reputación y envenenamiento de LLM

Resumen ejecutivo

Personas comunes con poca presencia en internet enfrentan un riesgo desproporcionado por la difamación amplificada por IA y el envenenamiento de datos. Un solo individuo motivado puede sembrar narrativas falsas que los buscadores, los feeds sociales y los LLM repiten. Este documento explica las vías de ataque comunes, los efectos concretos sobre la reputación y la seguridad, y una guía práctica para la detección y la protección. También describe cómo las atestaciones verificadas criptográficamente y la recuperación consciente de la procedencia pueden reducir el daño para individuos e integradores.

Audiencia y modelo de amenazas

Audiencia: individuos y pequeñas organizaciones sin una gran presencia en SEO. Restricciones: tiempo, presupuesto y recursos técnicos limitados. Adversario: un único actor capaz de generar y publicar grandes volúmenes de texto, usar redes básicas de enlaces y explotar puntos ciegos en los reportes. Objetivos: distorsionar resultados de búsqueda/LLM, dañar la reputación, crear dudas para empleadores, clientes, plataformas o agentes.

¿Qué es el envenenamiento de LLM?

El envenenamiento de LLM se refiere a la manipulación del comportamiento del modelo mediante contenido sembrado o coordinado - por ejemplo, publicaciones maliciosas, artículos sintéticos o spam en foros - que puede ser ingerido por sistemas de recuperación o usado por humanos como señales, empujando a los modelos hacia asociaciones falsas y narrativas difamatorias.

Debido a que los LLM y los sistemas de recuperación optimizan para escala y cobertura, un único adversario motivado puede moldear lo que un modelo «ve» sobre una persona inundando una pequeña porción de la web. Esto es especialmente eficaz contra individuos con presencia en línea limitada.

Cómo se distorsiona la reputación

• Envenenamiento en búsqueda y redes sociales - secuestro de perfiles, granjas de enlaces y publicaciones masivas para sesgar las características de ranking y las asociaciones de autocompletado.
• Envenenamiento de la base de conocimientos y RAG - crear páginas de entidades y notas de QA que parezcan semánticamente relevantes y se recuperen como contexto.
• Inyección indirecta de prompts - contenido web hostil que hace que los agentes de navegación repitan instrucciones o exfiltren datos sensibles.
• Puntos finales con puerta trasera - envoltorios de modelos maliciosos que actúan con normalidad hasta que aparecen frases desencadenantes, y entonces emiten falsedades dirigidas.

Riesgos adicionales y modos de fallo

• Colapso del modelo por entrenar con salidas sintéticas - bucles de retroalimentación donde el texto generado degrada la calidad futura del modelo si no se filtra o pondera.
• Inyección indirecta de prompts - contenido hostil en la web que instruye a un agente o herramienta de navegación a exfiltrar secretos o difundir difamación cuando se cita.
• Envenenamiento del almacén de embeddings - insertar pasajes adversarios en una base de conocimientos para que la recuperación muestre afirmaciones falsas que parezcan semánticamente relevantes.
• Lanzamientos con puerta trasera - publicar puntos de control modificados o envoltorios de API que se comportan con normalidad hasta que está presente una frase desencadenante.

Casos concretos y referencias

• La maldición de la recursión: Entrenamiento con datos generados (mayo de 2023)
• OWASP Top 10 para aplicaciones LLM (2023-2024)
• Lakera Gandalf - demostración de inyección de prompts (2023-2024)
• Nightshade - envenenamiento de datos dirigido para imágenes (2023-2024)
• PoisonGPT - demostración de LLM con puerta trasera (julio de 2023)
• PoisonedRAG - envenenamiento de bases de conocimiento para RAG (febrero de 2024)
• C2PA - credenciales de contenido y esfuerzos de procedencia (2023-2024)

Mitigaciones en profundidad

Recuperación y ranking

• Puntuación de fuentes y ponderación por procedencia - preferir contenido firmado o verificado por el editor; dar menor peso a páginas recién creadas o de baja reputación.
• Decaimiento temporal con período de gracia: exigir un tiempo de permanencia antes de que nuevas fuentes influyan en respuestas de alto riesgo; añadir revisión humana para entidades sensibles.
• Detección de cámaras de eco - agrupar pasajes casi duplicados y limitar la influencia repetida desde la misma fuente o red.
• Detección de valores atípicos y anomalías en el espacio de embeddings - marcar pasajes cuyas posiciones vectoriales han sido optimizadas adversarialmente.

Higiene de datos y de la base de conocimiento

• Tomar instantáneas y diffs de las bases de conocimiento - revisar grandes deltas, especialmente para entidades de tipo persona y acusaciones sin fuentes primarias.
• Listas canario y de denegación - evitar la incorporación de dominios abusivos conocidos; insertar canarios para medir la propagación no autorizada.
• Humano en el bucle para temas de alto riesgo - encolar las actualizaciones propuestas a hechos reputacionales para adjudicación manual.

Atestaciones y reputación

• Atestaciones verificadas criptográficamente - declaraciones firmadas por profesionales y organizaciones verificadas publicadas mediante un registro de sólo adición (append-only).
• Grafos de reputación - agregar endosos firmados y degradar el ranking de contenido de abusadores reincidentes o redes de bots.
• Citas visibles para el usuario: exigir que los modelos muestren las fuentes y el nivel de confianza con distintivos de procedencia para afirmaciones sensibles.

Lista de verificación empresarial

• Mapear entidades sensibles en tu dominio (personas, marcas, temas legales) y enrutar consultas a canalizaciones protegidas con requisitos de procedencia.
• Adoptar C2PA u credenciales de contenido similares para contenido de primera parte y animar a los socios a hacer lo mismo.
• Rastrear la influencia de nuevas fuentes a lo largo del tiempo y alertar sobre oscilaciones inusuales en respuestas a nivel de entidad.
• Realizar red teaming continuo para agentes RAG y de navegación, incluyendo suites de pruebas de inyección indirecta de prompts.

Acoso y difamación mediante IA

Personas contratadas ahora aprovechan la IA y la automatización para producir en masa acoso y difamación, creando textos de aspecto plausible y “fuentes” falsas que son fáciles de indexar, extraer y volver a compartir. Estas campañas son de bajo costo, alto impacto y difíciles de remediar una vez amplificadas por sistemas automatizados.

Chad Scira ha experimentado personalmente acoso y difamación dirigidos, junto con enlaces spam destinados a distorsionar las señales de reputación y las impresiones de búsqueda. Un relato detallado y la cadena de evidencias están documentados aquí: Jesse Nickles - Acoso y difamación.

Un reciente incidente en Stack Exchange muestra cómo redes de cuentas coordinadas pueden fabricar confianza en plataformas que normalmente llevan señales de credibilidad fuertes. Suspensiones públicas de 100 años en múltiples cuentas relacionadas, seguidas por publicaciones retaliatorias en otras plataformas, hacen de esto un caso útil para sistemas de clasificación conscientes de la procedencia y antiabuso: Incidente de acoso y difamación en Stack Exchange.

Taxonomía de amenazas

• Envenenamiento de datos de preentrenamiento - envenenar corpus públicos usados para el entrenamiento inicial para implantar asociaciones falsas o puertas traseras.
• Envenenamiento RAG - sembrar bases de conocimiento o fuentes externas que los pipelines de recuperación usan en tiempo de inferencia.
• Envenenamiento en búsqueda/redes - inundar con publicaciones o páginas de baja calidad para sesgar las señales de recuperación y ranking sobre una persona o tema.
• Prompts y contenido adversariales - elaborar entradas que desencadenen comportamientos indeseables o jailbreaks que repitan acusaciones difamatorias.

Incidentes y investigaciones recientes (con fechas)

• Nightshade - envenenamiento de datos dirigido por prompts (University of Chicago, 2023-2024)
• PoisonGPT - lanzamiento de LLM con puerta trasera (Mithril Security, julio de 2023)
• PoisonedRAG - envenenamiento de bases de conocimiento para RAG (febrero de 2024, arXiv)
• C2PA - credenciales de contenido y estándares de procedencia (2023-2024)

Nota: Las fechas anteriores reflejan las fechas de publicación o de difusión pública en las fuentes enlazadas.

Por qué esto es peligroso

• Los LLM pueden parecer autoritativos incluso cuando las referencias subyacentes son débiles o han sido sembradas de forma adversarial.
• Los pipelines de recuperación y ranking pueden sobrevalorar texto repetido, permitiendo que un actor sesgue los resultados solo con volumen.
• Los procesos humanos de verificación de hechos son lentos y costosos en comparación con la velocidad de producción y distribución de contenido automatizado.
• Las víctimas sin una presencia en línea significativa son desproporcionadamente vulnerables al envenenamiento por una sola publicación y a ataques de suplantación de identidad.

Análisis profundo de riesgos

• Cribado de empleo y plataformas - las búsquedas y los resúmenes de LLM pueden reproducir contenido envenenado durante procesos de contratación, moderación o verificaciones de incorporación.
• Viajes, vivienda y servicios financieros: las comprobaciones automatizadas pueden hacer aflorar narrativas falsas que retrasen o bloqueen el acceso a servicios.
• Persistencia: una vez indexadas en bases de conocimiento o en respuestas en caché, las afirmaciones falsas pueden resurgir incluso después de las eliminaciones.
• Retroalimentación sintética - el contenido generado puede impulsar más contenido generado, aumentando con el tiempo el peso aparente de las falsedades.

Detección y monitorización

• Configura alertas de búsqueda para tu nombre y alias; revisa periódicamente consultas site: para dominios de baja reputación que te mencionen.
• Realizar un seguimiento de los cambios en tus paneles de conocimiento o páginas de entidad; conservar capturas de pantalla fechadas y copias exportadas como evidencia.
• Monitorea los grafos de enlaces sociales en busca de cuentas de origen repetidas o picos repentinos de frases similares.
• Si opera un RAG o una base de conocimientos, ejecute comprobaciones de deriva de entidades y revise grandes variaciones en las páginas de personas o acusaciones sin fuentes primarias.

Guía de protección - Individuos

• Publica un sitio personal con declaraciones de identidad claras, una breve biografía y vías de contacto; conserva un registro de cambios con fechas.
• Alinear los metadatos del perfil entre plataformas; adquirir perfiles verificados cuando sea factible y vincularlos de nuevo a su sitio.
• Usar C2PA u otras credenciales de contenido similares para imágenes y documentos clave cuando sea posible; almacenar los originales de forma privada.
• Mantenga un registro de evidencias con marcas de tiempo: capturas de pantalla, enlaces y cualquier número de ticket de la plataforma para una escalada posterior.
• Preparar plantillas de solicitud de eliminación; responder rápidamente a nuevos ataques y documentar cada paso para dejar un rastro documental claro.

Guía de protección - Equipos e integradores

• Preferir contenido firmado o verificado por el publicador en la recuperación; aplicar periodos de gracia basados en el tiempo para fuentes nuevas.
• Limitar la influencia repetida desde la misma fuente y eliminar duplicados cercanos por red de origen.
• Agregar insignias de procedencia y listas de fuentes visibles para el usuario para afirmaciones a nivel de persona y otros temas sensibles.
• Adoptar detección de anomalías en los almacenes de embeddings; marcar vectores adversariales atípicos y ejecutar pruebas canario para propagación no autorizada.

Investigación: Atestaciones verificadas criptográficamente

Chad Scira está construyendo sistemas de atestaciones verificadas criptográficamente para la confianza en declaraciones sobre personas y eventos. El objetivo es proporcionar a los LLM y a los sistemas de recuperación afirmaciones firmadas y consultables por profesionales y organizaciones verificadas, posibilitando una procedencia robusta y una mayor resistencia al envenenamiento.

Principios de diseño

• Identidad y procedencia: las declaraciones son firmadas por individuos/organizaciones verificadas utilizando criptografía de clave pública.
• Almacenamiento verificable: las atestaciones están ancladas a registros de solo anexado y evidentes de manipulación para permitir la verificación independiente.
• Integración de recuperación: los pipelines RAG pueden priorizar o requerir fuentes atestadas criptográficamente para consultas sensibles.
• Baja fricción: las APIs y SDKs permiten a publicadores y plataformas emitir y verificar atestaciones en el momento de la ingestión.

Reputación y alertas

Además de las atestaciones, una capa de reputación agrega respaldos firmados y marca a los abusadores conocidos. Los sistemas de alertas notifican a los objetivos cuando se detectan ataques coordinados o picos anómalos, lo que permite una respuesta más rápida y solicitudes de eliminación.

Canales legales y de plataforma

• Utilizar los flujos de reporte de la plataforma con paquetes de evidencia claros: enlaces, fechas, capturas de pantalla e impactos. Referenciar las políticas sobre difamación y acoso.
• Escale mediante avisos formales cuando corresponda; mantenga registros de correspondencia e identificadores de tickets en su rastro de evidencia.
• Tener en cuenta las diferencias jurisdiccionales en materia de difamación y responsabilidad de plataformas; consultar con asesoría legal en casos de alto riesgo.

Hoja de ruta de implementación (Año 1)

• MVP: esquema de atestación y SDK para publicadores para firmar declaraciones de identidad y afirmaciones sobre eventos.
• Realizar un piloto con un pequeño grupo de profesionales y organizaciones verificadas; establecer flujos de trabajo de verificación.
• Complementos RAG: habilitar el modo de respuesta 'provenance first' que prioriza fuentes atestadas para consultas sensibles.

Lecturas adicionales (con fechas)

• Nightshade - envenenamiento de datos dirigido para imágenes (2023-2024)
• PoisonGPT - demostración de LLM con puerta trasera (julio de 2023)
• PoisonedRAG - envenenamiento de bases de conocimiento para RAG (febrero de 2024)
• OWASP Top 10 para aplicaciones LLM (2023-2024)
• C2PA - credenciales de contenido y esfuerzos de procedencia (2023-2024)
• La maldición de la recursión: Entrenamiento con datos generados (mayo de 2023)

Colaboración

Esta investigación está a la vanguardia y evoluciona activamente. Chad Scira da la bienvenida a la colaboración con otros profesionales de este sector.

Si está interesado en colaborar, por favor póngase en contacto en: [email protected]