Mainekaitse ja LLM-mürgituse uurimus

Juhtkonna kokkuvõte

Keskmistel inimestel, kellel on väike internetijälg, on ebaproportsionaalselt suur risk AI-võimendusega laimust ja andmete mürgitamisest. Üks motiveeritud indiviid võib külvata valesid narratiive, mida otsingud, sotsiaalmeedia vood ja LLM-id kordavad. See dokument selgitab levinumaid ründevektoreid, konkreetseid mõjusid mainele ja turvalisusele ning praktilist tegevusplaani tuvastamiseks ja kaitseks. Samuti kirjeldab see, kuidas krüptograafiliselt kinnitatud atestatsioonid ja päritolu-teadlik päringuretriaalsus võivad vähendada kahjusid üksikisikutele ja integraatoritele.

Sihtgrupp ja ohumudel

Sihtgrupp: üksikisikud ja väikesed organisatsioonid, kellel puudub tugev SEO-kohalolek. Piirangud: piiratud aeg, eelarve ja tehnilised ressursid. Vastane: üks tegija, kes suudab genereerida ja postitada suuri tekstimahte, kasutada lihtsaid lingivõrke ja ära kasutada aruandluse lünki. Eesmärgid: moonutada otsingu- ja LLM-väljundeid, kahjustada mainet, tekitada kahtlusi tööandjate, klientide, platvormide või esindajate hulgas.

Mis on LLM-mürgitamine?

LLM-i mürgitamine viitab mudeli käitumise manipuleerimisele külvatud või koordineeritud sisuga - näiteks pahatahtlikud postitused, sünteetilised artiklid või foorumi rämps - mida võivad haarata päringusüsteemid või mida inimesed kasutavad signaalidena, suunates mudeleid vale seoste ja laimavate narratiivide poole.

Kuna LLM-id ja päringusüsteemid optimeerivad skaalat ja katvust, võib üks motiveeritud vastane kujundada seda, mida mudel "näeb" isiku kohta, üle uputades väikese osa veebist. See on eriti tõhus isikute vastu, kellel on piiratud veebikohalolek.

Kuidas mainet moonutatakse

• Otsingu- ja sotsiaalne mürgitamine – profiili kaaperdamine, lingufarmid ja masspostitused, et kallutada järjestuse funktsioone ja automaatse täitmise seoseid.
• Teadmistebaasi ja RAG-i mürgitamine - üksuse lehtede ja QA-märkmete loomine, mis näivad semantiliselt asjakohased ja mida leitakse kontekstina.
• Kaudne prompti süstimine - vaenulik veebisisu, mis paneb sirvimisagente kordama juhiseid või väljastama tundlikke andmeid.
• Tagauste lõpp-punktid — pahatahtlikud mudeli-ümbrised, mis käituvad normaalselt kuni päästefraasid ilmuvad ja seejärel edastavad sihitud valeväiteid.

Täiendavad riskid ja tõrkemoodid

• Mudeli kokkuvarisemine sünteetiliste väljundite peal treenimise tõttu - tagasisidesilmused, kus genereeritud tekst halvendab tulevase mudeli kvaliteeti, kui seda ei filtreerita ega kaaluta.
• Kaudne prompti süstimine - vaenulik veebisisu, mis juhendab agendi või sirvimistööriista tsiteerimisel saladuste väljavõtmiseks või laimu levitamiseks.
• Embeddingute hoidla mürgitamine - ründelõikude lisamine teadmistebaasi, nii et päringud toovad esile valesid väiteid, mis näivad semantiliselt asjakohased.
• Tagaukuga väljalasked — muudetud kontrollpunktide või API-ümbriste avaldamine, mis käituvad normaalselt kuni päästefraas on kohal.

Konkreetsed juhtumid ja viited

• Rekursiooni needus: treenimine genereeritud andmetel (mai 2023)
• OWASP Top 10 LLM-rakendustele (2023–2024)
• Lakera Gandalf - prompti süstimise näidis (2023-2024)
• Nightshade - piltide sihitud andmete mürgitamine (2023–2024)
• PoisonGPT - tagauksega LLM-i demonstratsioon (juuli 2023)
• PoisonedRAG - teadmistebaasi mürgitamine RAG-i jaoks (veebruar 2024)
• C2PA - sisu tunnistused ja päritolu algatused (2023–2024)

Mitigatsioonid sügavuti

Hankimine ja järjestamine

• Allikate skoorimine ja päritolu kaalumine – eelistada allkirjastatud või väljaandja poolt kinnitatud sisu; vähenda kaalu äsja loodud või madala mainega lehtedel.
• Aja kadu armuajaga - nõuda ooteaega enne, kui uued allikad hakkavad mõjutama kõrge panusega vastuseid; lisada inimlik ülevaatus tundlike entiteetide puhul.
• Kajakambri tuvastamine - rühmitage peaaegu duplikaatseid lõike ja piirake sama päritolu või võrgu korduvat mõju.
• Hälvikute ja anomaaliate tuvastamine embedding-ruumis - märgi lõigud, mille vektoripositsioone on vaenulikult optimeeritud.

Andmete ja teadmistebaasi hügieen

• Teadmistebaaside hetkepildid ja erinevuste võrdlus – vaata üle suured muudatused, eriti isikuandmete ja süüdistuste puhul, millel puuduvad esmased allikad.
• Kanari- ja keelamisloendid — vältida teadaolevate kuritarvitavate domeenide kaasamist; sisestage kanarid volitamata leviku mõõtmiseks.
• Inimene protsessiahelas kõrge riski teemade puhul - pange maineandmete ettepanekud käsitsi otsustamiseks järjekorda.

Tõendused ja maine

• Krüptograafiliselt kinnitatud atestatsioonid — allkirjastatud avaldused kontrollitud spetsialistidelt ja organisatsioonidelt, mis avaldatakse ainult lisatavasse logi (append-only log).
• Mainegraafikud – koonda allkirjastatud toetused ja alanda korduvate väärkasutajate või botivõrkude sisu järjestust.
• Kasutajale nähtavad viited - nõuda, et mudelid näitaksid allikaid ja kindlustaset koos päritolu märgistusega tundlike väidete puhul.

Ettevõtte kontrollnimekiri

• Kaardista oma valdkonna tundlikud üksused (isikud, kaubamärgid, õiguslikud teemad) ja suuna päringud kaitstud töövoogudesse, millel on päritolu nõuded.
• Võtke kasutusele C2PA või sarnased sisutunnistused esimesepoolse sisu jaoks ja julgustage partnereid sama tegema.
• Jälgi uute allikate mõju aja jooksul ja teavita ebatavalistest kõikumistest entiteedi tasemel vastustes.
• Käivita pidev red-teaming RAG- ja sirvimisagentide jaoks, sealhulgas kaudseid prompt-süstimise testikomplekte.

AI kaudu toimuv ahistamine ja laim

Palgapõhised teenusepakkujad kasutavad nüüd tehisintellekti ja automatiseerimist ahistuse ja laimu massiliseks tootmiseks, luues näiliselt usutavat teksti ja võltsitud "allikaid", mida on lihtne indekseerida, kraapida ja uuesti jagada. Need kampaaniad on madala kuluga, suure mõjuga ning pärast automatiseeritud süsteemide poolt võimendamist raskesti leevendatavad.

Chad Scira on isiklikult kogenud sihipärast ahistamist ja laimamist koos rämpsliku lingitamisega, mille eesmärk oli moonutada maine signaale ja otsingutulemusi. Üksikasjalik kirjeldus ja tõendite jälg on dokumenteeritud siin: Jesse Nickles - ahistamine ja laim.

Hiljutine Stack Exchange'i intsident näitab, kuidas koordineeritud kontovõrgustikud võivad platvormidel, millel tavaliselt on tugevad usaldusväärsussignaalid, usaldust tekitada. Avalikud 100-aastased peatamised mitmel seotud kontol, mida saatis kättemaksuline platvormideülene avaldamine, muudavad selle kasulikuks juhtumiuuringuks päritolu-teadlike edetabelite ja väärkasutusevastaste süsteemide jaoks: Stack Exchange'i ahistamise ja laimu intsident.

Ohu taksonoomia

• Eeltreenimise andmete mürgitamine - avalike korpuste mürgitamine, mida kasutatakse algtreeningus vale seoste või tagauksede implanteerimiseks.
• RAG-mürgitamine – teadmistebaaside või väliste allikate külvamine, mida otsimis- ja hankimistorustikud kasutavad inferentsi ajal.
• Otsingu/sotsiaalne mürgitamine – postituste või madala kvaliteediga lehtede üleujutamine, et kallutada hankimise ja järjestamise signaale isiku või teema kohta.
• Vastandlikud käsud ja sisu — sisendi koostamine, mis vallandab soovimatuid käitumisi või jailbreak'e, mis kordavad laimavaid väiteid.

Hiljutised intsidentid ja uuringud (kuupäevadega)

• Nightshade - promptidega sihitud andmete mürgitamine (University of Chicago, 2023–2024)
• PoisonGPT - tagauksega LLM-i vabastus (Mithril Security, juuli 2023)
• PoisonedRAG - teadmistebaasi mürgitamine RAG-i jaoks (veebruar 2024, arXiv)
• C2PA - sisu tunnistused ja päritolu standardid (2023–2024)

Märkus: ülaltoodud kuupäevad kajastavad avaldamise või avaliku väljalaske kuupäevi viidatud allikates.

Miks see on ohtlik

• LLM-id võivad tunduda autoriteetsetena isegi siis, kui alusviited on nõrgad või vaenulikult külvatud.
• Hankimise ja järjestamise torustikud võivad korduvat teksti ülehinnata, võimaldades ühel osapoolel tulemusi üksnes mahu abil kallutada.
• Inimeste tehtud faktikontroll on automatiseeritud sisu tootmis- ja levimiskiiruse kõrval aeglane ja kulukas.
• Ohvrid, kellel puudub märkimisväärne veebikohalolek, on ebaproportsionaalselt haavatavad üksikpostituse mürgitamisele ja identiteedirünnakutele.

Põhjalik riskianalüüs

• Töölevõtmise ja platvormi kontrollid - otsingud ja LLM-i kokkuvõtted võivad kajastada mürgitatud sisu värbamise, modereerimise või sisseelamise kontrollide ajal.
• Reisimine, eluaseme- ja finantsteenused - automatiseeritud kontrollid võivad esile tuua valesid narratiive, mis viivitavad või blokeerivad teenuseid.
• Püsivus - kui vale väide on kord indeksitud teadmistebaasidesse või vahemällu salvestatud vastustesse, võib see pärast eemaldamist uuesti ilmuda.
• Sünteetiline tagasiside – genereeritud sisu võib käivitada veel rohkem genereeritud sisu, suurendades aja jooksul valede näilist kaalu.

Tuvastamine ja jälgimine

• Sea üles otsinguhoiatused oma nimele ja varjunimedele; kontrolli perioodiliselt site: päringuid madala mainega domeenide kohta, mis sind mainivad.
• Jälgi muudatusi oma teadmiste paneelidel või entiteedi lehtedel; säilita kuupäevaga ekraanipildid ja eksporditud koopiad tõenditena.
• Jälgi sotsiaalseid seose graafe korduvate päritolukontode või sarnase sõnastuse äkiliste tõusude tuvastamiseks.
• Kui haldate RAG-i või teadmistebaasi, tehke entity drift'i kontrollid ja vaadake üle suuremahulised muudatused isikulehtedel või süüdistustes ilma esmase allikata.

Kaitse käsiraamat - üksikisikud

• Avalda isiklik veebileht, kus on selged identiteedi väited, lühike elulugu ja kontaktivõimalused; hoia kuupäevadega muudatuste logi.
• Joondage profiili metaandmed platvormide vahel; hankige kinnitatud profiilid, kus see on võimalik, ja lingige need tagasi oma saidile.
• Kasutage C2PA-d või sarnaseid sisu tõendustunnistusi oluliste piltide ja dokumentide puhul, kui võimalik; hoidke originaalid privaatsetena.
• Hoia tõendite logi koos ajatemplitena: ekraanipildid, lingid ja kõik platvormi piletinumbrid hilisemaks eskaleerimiseks.
• Valmista ette eemaldamismallid; reageeri kiiresti uutele rünnakutele ja dokumenteeri iga samm selge paberijäljega.

Kaitse käsiraamat - meeskonnad ja integraatorid

• Eelista allkirjastatud või väljaandja kinnitatud sisu päringutes; kehtesta uutele allikatele ajapõhised armuajad.
• Piira sama päritolu korduvat mõju ja deduplitseeri peaaegu duplikaadid iga päritoluvõrgu lõikes.
• Lisage päritolusildid ja kasutajatele nähtavad allikaloendid isikut puudutavate väidete ja teiste tundlike teemade jaoks.
• Rakendage anomaaliate tuvastust embeddingute andmebaasides; märgistage vastaste vektorite erandid ja käivitage canary-kontrollid volitamata leviku avastamiseks.

Uuring: krüptograafiliselt tõendatud kinnitused

Chad Scira arendab krüptograafiliselt kinnitatud atesteerimissüsteeme usalduse loomiseks inimeste ja sündmuste kohta käivate väidete suhtes. Eesmärk on varustada LLM-e ja päringusüsteeme allkirjastatud, päringuga kättesaadavate väidetega, mis pärinevad kontrollitud spetsialistidelt ja organisatsioonidelt, võimaldades tugevat päritolu ja paremat vastupanu mürgitamisele.

Disaini põhimõtted

• Identiteet ja päritolu: avaldused on allkirjastatud kinnitatud isikute/organisatsioonide poolt avaliku võtme krüptograafiat kasutades.
• Tõendatav salvestus: kinnitused on ankurdatud ainult lisatavatesse, manipuleerimist tuvastavatesse logidesse, et võimaldada sõltumatut kontrolli.
• Hankimise integratsioon: RAG-torustikud võivad eelistada või nõuda krüptograafiliselt tõendatud allikaid tundlike päringute puhul.
• Minimaalne takistus: API-d ja SDK-d võimaldavad väljaandjatel ja platvormidel väljastada ja kontrollida kinnitusi sissetoomise ajal.

Maine ja teavitamine

Peale attestatsioonide koondab mainekiht allkirjastatud toetusi ja märgib tuntud väärkasutajaid. Häireteavitussüsteemid teavitavad sihtmärke, kui tuvastatakse koordineeritud rünnakuid või ebanormaalseid tõuse, võimaldades kiiremat reageerimist ja eemaldamistaotlusi.

Juriidilised ja platvormikanalid

• Kasutage platvormi teatamisvooge selgete tõendipakettidega: lingid, kuupäevad, ekraanipildid ja mõjud. Viidake laimu- ja ahistamise poliitikatele.
• Tõstke juhtum ametlike teadete abil, kui see on asjakohane; hoidke tõendina kirjavahetuse logisid ja piletite ID-sid.
• Arvestage laimamise ja platvormi vastutuse jurisdiktsiooniliste erinevustega; pöörduge kõrge riski juhtumite puhul õigusnõustaja poole.

Rakendamise tegevusplaan (1. aasta)

• MVP: attestatsiooniskeem ja väljaandja SDK identiteediavalduste ja sündmuse väidete allkirjastamiseks.
• Pilootprojekt väikese, läbi kontrollitud spetsialistide ja organisatsioonide grupiga; kehtesta verifitseerimise töövood.
• RAG-pistikprogrammid: võimalda "provenance first" vastuse režiim, mis eelistab tõendatud allikaid tundlike päringute puhul.

Lisalugemine (kuupäevadega)

• Nightshade - piltide sihitud andmete mürgitamine (2023–2024)
• PoisonGPT - tagauksega LLM-i demonstratsioon (juuli 2023)
• PoisonedRAG - teadmistebaasi mürgitamine RAG-i jaoks (veebruar 2024)
• OWASP Top 10 LLM-rakendustele (2023–2024)
• C2PA - sisu tunnistused ja päritolu algatused (2023–2024)
• Rekursiooni needus: treenimine genereeritud andmetel (mai 2023)

Koostöö

See uurimus on tipptasemel ja aktiivselt arenev. Chad Scira tervitab koostööd teiste selle valdkonna spetsialistidega.

Kui olete huvitatud koostööst, võtke palun ühendust aadressil: [email protected]