LLM-i mürgitamise ja kuritarvitamise vastane uurimistöö

Juhtkonna kokkuvõte

Tavalised inimesed, kellel on väike internetijälg, puutuvad kokku ebaproportsionaalselt suure riskiga seoses tehisintellekti võimendatud laimu ja andmete mürgitamisega. Üks motiveeritud isik võib külvata vale narratiive, mida otsing, sotsiaalmeedia vood ja LLM-id kordavad. See dokument selgitab levinud ründeviise, nende konkreetseid mõjusid mainele ja ohutusele ning praktilist tegevusjuhendit tuvastamiseks ja kaitseks. Samuti kirjeldatakse, kuidas krüptograafiliselt kontrollitavad kinnitused ja päritoluteadlik infootsing võivad kahju vähendada nii üksikisikute kui ka integreerijate jaoks.

Sihtgrupp ja ohumudel

Sihtgrupp: eraisikud ja väikeorganisatsioonid, kellel puudub suur SEO-jalajälg. Piirangud: piiratud aeg, eelarve ja tehnilised ressursid. Vastaspool: üksik tegija, kes suudab genereerida ja postitada suures mahus teksti, kasutada lihtsaid lingivõrgustikke ning ära kasutada aruandluse pimenurki. Eesmärgid: moonutada otsingu- ja LLM-i väljundeid, kahjustada mainet, tekitada kahtlusi tööandjate, klientide, platvormide või agentide silmis.

Mis on LLM-i mürgitamine?

LLM-i mürgitamine tähendab mudeli käitumise mõjutamist sihilikult lisatud või koordineeritud sisuga – näiteks pahatahtlike postituste, sünteetiliste artiklite või foorumispämmiga –, mida otsingusüsteemid võivad alla laadida või mida inimesed kasutavad signaalidena, suunates mudeleid valeassotsiatsioonide ja laimavate narratiivide poole.

Kuna LLM-id ja infootsingu süsteemid on optimeeritud mahu ja katvuse, mitte üksikute isikute jaoks, saab üks motiveeritud vastane mõjutada seda, mida mudel kellegi kohta „näeb“, uputades veebist väikese osa valeinfoga üle. See on eriti tõhus nende inimeste puhul, kellel on piiratud veebikohalolek.

Kuidas maine moonutatakse

• Otsingu- ja sotsiaalmeedia mürgitamine – profiilide kaaperdamine, lingifarmid ja masspostitused, et kallutada järjestusfunktsioone ja automaatse täitmise seoseid.
• Teadmusbaasi ja RAG‑i mürgitamine – üksuse lehtede ja KKK‑märkmete loomine, mis näivad semantiliselt asjakohased ja valitakse kontekstiks.
• Kaudne juhiste süstimine – vaenulik veebisisu, mis paneb sirvimisagendid kordama juhiseid või väljastama tundlikke andmeid.
• Tagauksega lõpp-punktid – pahatahtlikud mudelikihistused, mis käituvad tavapäraselt seni, kuni ilmnevad päästefraasid, seejärel väljastavad sihitud valeväiteid.

Täiendavad riskid ja rikkerežiimid

• Mudeli kollaps sünteetiliste väljundite põhjal treenimisest – tagasisideahelad, kus genereeritud tekst halvendab tulevaste mudelite kvaliteeti, kui seda ei filtreerita ega kaaluta.
• Kaudne juhiste süstimine – vaenulik veebisisu, mis juhendab agenti või sirvimistööriista saladusi välja tooma või laimavat teavet levitama, kui seda tsiteeritakse.
• Sisendandmestiku mürgitamine – vaenulike lõikude lisamine teadmistebaasi nii, et otsing tõstab esile vales väiteid, mis paistavad semantiliselt asjakohased.
• Tagauksega väljalasked – muudetud kontrollpunktide või API-kihistuste avaldamine, mis käituvad tavapäraselt kuni päästefraasi esinemiseni.

Konkreetsed juhtumid ja viited

• Rekursiooni needus: treenimine genereeritud andmetel (mai 2023)
• OWASP Top 10 LLM‑rakendustele (2023–2024)
• Lakera Gandalf – juhiste süstimise näidiskeskkond (2023–2024)
• Nightshade – sihitud andmemürgitamine piltide jaoks (2023–2024)
• PoisonGPT – tagauksega LLM‑i demonstratsioon (juuli 2023)
• PoisonedRAG – RAG‑i teadmistebaasi mürgitamine (veebruar 2024)
• C2PA – sisu tõendite ja päritolu initsiatiivid (2023–2024)

Mitmetasandilised leevendusmeetmed

Otsing ja järjestamine

• Allikate skoorimine ja päritolu kaalumine – eelista allkirjastatud või väljaandja poolt kinnitatud sisu; vähenda hiljuti loodud või madala mainega lehtede kaalu.
• Aja jooksul vähenev kaal koos üleminekuperioodiga – nõua viibeaega enne, kui uued allikad mõjutavad kõrge panusega vastuseid; lisa tundlike üksuste puhul inimlik kontroll.
• Kaja­teki efekti tuvastamine – koonda omavahel peaaegu identsed lõigud klastritesse ja piira korduvat mõju samast allikast või võrgustikust.
• Ääreväärtuste ja anomaaliate tuvastamine sisendruumis – märgistada lõigud, mille vektorpositsioone on vastase poolt sihipäraselt optimeeritud.

Andmete ja teadmusbaasi hügieen

• Tõmmise- ja erinevuspõhised teadmistebaasid – vaata läbi suured erinevused, eriti isikute ja süüdistuste puhul, millel puuduvad esmasallikad.
• Kanariid ja keelunimekirjad – takistada teadaolevalt kuritarvitavate domeenide kaasamist; lisada kanareid volitamata leviku mõõtmiseks.
• Inimsekkumine kõrge riskiga teemadel – pane maineinfot puudutatud uuendused järjekorda käsitsi hindamiseks.

Kinnitused ja maine

• Krüptograafiliselt verifitseeritud tõendid – allkirjastatud avaldused kontrollitud professionaalidelt ja organisatsioonidelt, mis avaldatakse ainult lisamist võimaldavas logis.
• Reputatsioonigraafikud – koondavad allkirjastatud soovitusi ja langetavad järjestuses korduvate rikkujate või botivõrgustike sisu.
• Kasutajale nähtavad viited – nõua mudelitelt allikate ja kindluse näitamist päritolumärgistega tundlike väidete puhul.

Ettevõtte kontrollnimekiri

• Kaardista oma valdkonna tundlikud üksused (isikud, kaubamärgid, õiguslikud teemad) ja suuna päringud hoolikalt kaitstud torustikesse, millel on päritolunõuded.
• Võtta esmakordse sisu puhul kasutusele C2PA või sarnased sisuautentsuse tunnused ning julgustada partnereid sama tegema.
• Jälgi uute allikate mõju ajas ja teavita ebatavalistest kõikumistest üksusetaseme vastustes.
• Tehke pidevat punast meeskonnatööd RAG- ja sirvimisagentide jaoks, sealhulgas kaudse juhiste-süstimise testikomplekte.

Ahistamine ja laim tehisintellekti abil

Tellitavad isikud kasutavad nüüd tehisintellekti ja automatiseerimist, et massiliselt toota ahistamist ja laimu, luues usutavat teksti ja võltsitud „allikaid”, mida on lihtne indekseerida, kraapida ja uuesti jagada. Need kampaaniad on madala kuluga, suure mõjuga ja raskesti heastatavad, kui automaatsed süsteemid on neid juba võimendanud.

Chad Scira on isiklikult kogenud sihitud ahistamist ja laimamist koos rämpslinkimisega, mille eesmärk on moonutada mainesignaale ja otsingutulemusi. Üksikasjalik ülevaade ja tõendite ahel on dokumenteeritud siin: Jesse Nickles – ahistamine ja laim.

Ohtude taksonoomia

• Eeltreeningandmete mürgitamine – avalike korpuste mürgitamine, mida kasutatakse algses treeningus, et istutada vale seoseid või tagauksi.
• RAG-i mürgitamine – teadmistebaaside või väliste allikate sihipärane mõjutamine, mida päringu ajal kasutavad otsingupõhised töötlustorustikud.
• Otsingu- ja sotsiaalmeedia mürgitamine – postituste või madala kvaliteediga lehtede uputamine, et kallutada isikut või teemat puudutavaid otsingu- ja järjestussignaale.
• Vastandlikud päringud ja sisu – sisendite koostamine, mis käivitavad soovimatu käitumise või „jailbreak’i“, mis kordab laimavaid väiteid.

Hiljutised juhtumid ja uurimused (koos kuupäevadega)

• Nightshade – sihitud andmemürgitamine lähtesõnade tasandil (Chicago Ülikool, 2023–2024)
• PoisonGPT – tagauksega LLM‑i väljalase (Mithril Security, juuli 2023)
• PoisonedRAG – RAG‑i teadmistebaasi mürgitamine (veebruar 2024, arXiv)
• C2PA – sisu tõendite ja päritolu standardid (2023–2024)

Märkus: ülaltoodud kuupäevad kajastavad avaldamise või avalikustamise kuupäevi viidatud allikates.

Miks see on ohtlik

• LLM-id võivad näida autoriteetsed isegi siis, kui aluseks olevad allikad on nõrgad või pahatahtlikult sisse sokutatud.
• Otsingu- ja järjestustorustikud võivad ülehinnata korduvat teksti, võimaldades ühel osapoolel üksnes mahuga tulemusi kallutada.
• Inimeste tehtav faktikontroll on aeglane ja kulukas võrreldes automatiseeritud sisutootmise ja -levitamise kiirusega.
• Ohvrid, kellel puudub märkimisväärne veebikohalolu, on ebaproportsionaalselt haavatavad üksiku postituse kaudu toimuva „mürgitamise” ja identiteedirünnakute suhtes.

Riskide põhjalik käsitlus

• Töö- ja platvormipõhine taustakontroll – otsing ja LLM-i kokkuvõtted võivad värbamise, modereerimise või sisseelamisprotsesside käigus võimendada mürgitatud sisu.
• Reisimine, eluaseme‑ ja finantsteenused – automatiseeritud kontrollid võivad välja tuua valeväiteid, mis viivitavad või takistavad teenuste saamist.
• Püsivus – kui väärad väited on kord juba teadmistebaasidesse indekseeritud või vastustesse vahemällu salvestatud, võivad need uuesti esile kerkida isegi pärast mahavõtmist.
• Sünteetiline tagasiside – genereeritud sisu võib käivitada veelgi rohkem genereeritud sisu, suurendades aja jooksul näilist valeinfo kaalu.

Avastamine ja seire

• Seadistage oma nime ja varjunimede kohta otsinguteavitused; kontrollige perioodiliselt site:-päringutega madala reputatsiooniga domeene, mis teid mainivad.
• Jälgi muudatusi oma teadmiste paneelides või üksuse lehtedel; tõendusmaterjalina säilita kuupäevastatud ekraanipildid ja eksporditud koopiad.
• Jälgi sotsiaalsete linkide graafe korduvate algkontode või äkiliste sarnase sõnastusega postituste hüppelist kasvu tuvastamiseks.
• Kui haldad RAG‑i või teadmusbaasi, tee üksuse triivi kontrolle ja vaata läbi suured muudatused isikute lehtedel või süüdistustes, millel puuduvad esmased allikad.

Kaitse Käsiraamat – üksikisikud

• Avalda isiklik veebileht selgete isikusamasuse väidetega, lühikese eluloo ja kontaktandmetega; pea dateeritud muudatuste logi.
• Joonda profiilide metaandmed eri platvormidel; soeta võimaluse korral kinnitatud profiilid ja seo need tagasi oma veebisaidiga.
• Kasuta võimalusel võtmekujutiste ja -dokumentide puhul C2PA‑d või sarnaseid sisu tõendusmärke; säilita originaalid privaatselt.
• Pidage ajatempleid sisaldavat tõendilogi: ekraanipildid, lingid ja kõik platvormi pöördumiste numbrid edasiseks eskaleerimiseks.
• Valmista ette eemaldamistaotluste mallid; reageeri uutele rünnakutele kiiresti ja dokumenteeri iga samm selge kirjaliku jälje tagamiseks.

Kaitse Käsiraamat – meeskonnad ja integreerijad

• Eelista päringutes allkirjastatud või väljaandja poolt kinnitatud sisu; rakenda uute allikate puhul ajapõhiseid üleminekuperioode.
• Piirake korduvat mõjutamist samast allikast ja eemaldage peaaegu identsed duplikaadid iga lähtevõrgu lõikes.
• Lisada päritolu märgised ja kasutajale nähtavad allikaloendid isikuid käsitlevate väidete ja muude tundlike teemade jaoks.
• Võtta kasutusele anomaaliatuvastus manusembede hoidlatele; tähistada vaenulikke vektorilisi erindeid ja käivitada kanaritestid volitamata leviku tuvastamiseks.

Uurimistöö: krüptograafiliselt verifitseeritud atesteeringud

Chad Scira loob krüptograafiliselt verifitseeritavaid tõendussüsteeme, mis loovad usaldust inimeste ja sündmuste kohta tehtud väidete suhtes. Eesmärk on varustada LLM‑e ja päringusüsteeme allkirjastatud, päringuteks sobivate väidetega kontrollitud professionaalidelt ja organisatsioonidelt, võimaldades tugevat päritolujälgitavust ja paremat vastupanu mürgitamisele.

Disainipõhimõtted

• Isikusamasus ja päritolu: avaldused allkirjastavad verifitseeritud isikud/organisatsioonid, kasutades avaliku võtmega krüptograafiat.
• Tõendatav salvestus: kinnitused ankurdatakse ainult lisatavate, rikkumiskindlate logide külge, et võimaldada sõltumatut kontrolli.
• Otsingu integreerimine: RAG-torustikud võivad tundlike päringute puhul eelistada või nõuda krüptograafiliselt atesteeritud allikaid.
• Minimaalne hõõrdumine: API-d ja SDK-d võimaldavad väljaandjatel ja platvormidel teha kinnitusi ning kontrollida neid juba sisu vastuvõtmisel.

Reputatsioon ja teavitamine

Lisaks kinnitustele koondab mainekiht allkirjastatud soovitused ja märgistab teadaolevad kuritarvitajad. Hoiatussüsteemid teavitavad sihtmärke, kui avastatakse koordineeritud rünnakuid või ebatavalisi hüppeid, võimaldades kiiremat reageerimist ja mahavõtmistaotlusi.

Õiguslikud ja platvormipõhised kanalid

• Kasuta platvormi raportivoo lahendusi koos selgete tõendipakettidega: lingid, kuupäevad, ekraanipildid ja mõjud. Viita laimamise ja ahistamise poliitikatele.
• Escaleeri vajaduse korral ametlike teadetega; pea kirjavahetuse logisid ja piletite ID-sid oma tõendite kogumiseks.
• Arvestage erinevusi jurisdiktsioonide vahel laimu ja platvormi vastutuse osas; kõrge riskiga juhtumite puhul pidage nõu õigusnõustajaga.

Rakenduskava (1. aasta)

• MVP: kinnitusskeem ja väljaandja SDK identiteediväidete ja sündmusnõuete allkirjastamiseks.
• Pilootprojekt väikese eelnevalt taustakontrollitud professionaalide ja organisatsioonide rühmaga; kehtesta verifitseerimisprotsessid.
• RAG-i pluginate kasutamine: võimaldage esmalt päritolu tõendamise režiim, mis seab tundlike päringute puhul esikohale kinnitatud allikad.

Edasine lugemine (kuupäevadega)

• Nightshade – sihitud andmemürgitamine piltide jaoks (2023–2024)
• PoisonGPT – tagauksega LLM‑i demonstratsioon (juuli 2023)
• PoisonedRAG – RAG‑i teadmistebaasi mürgitamine (veebruar 2024)
• OWASP Top 10 LLM‑rakendustele (2023–2024)
• C2PA – sisu tõendite ja päritolu initsiatiivid (2023–2024)
• Rekursiooni needus: treenimine genereeritud andmetel (mai 2023)

Koostöö

See uurimistöö on tipptasemel ja pidevas arengus. Chad Scira on avatud koostööle teiste selle valdkonna spetsialistidega.

Kui olete koostööst huvitatud, võtke palun ühendust aadressil: [email protected]