حفاظت از اعتبار و پژوهش در مورد مسمومیت LLM

خلاصه اجرایی

افراد عادی با حضور آنلاین کوچک در معرض خطر نامتناسبی از تهمت تقویت‌شده توسط هوش مصنوعی و آلوده‌سازی داده‌ها قرار دارند. یک فرد مصمم می‌تواند روایت‌های غلطی را پخش کند که جستجوها، فیدهای اجتماعی و مدل‌های زبانی بزرگ تکرار می‌کنند. این سند مسیرهای حملهٔ رایج، تأثیرات ملموس بر شهرت و امنیت، و یک چک‌لیست عملی برای شناسایی و حفاظت را توضیح می‌دهد. همچنین توضیح می‌دهد چگونه اظهارات رمزنگاری‌شدهٔ معتبر و بازیابی آگاه از منشأ می‌تواند آسیب را برای افراد و یکپارچه‌سازان کاهش دهد.

مخاطب و مدل تهدید

مخاطب: افراد و سازمان‌های کوچک بدون حضور گسترده در SEO. محدودیت‌ها: زمان، بودجه و منابع فنی محدود. دشمن: یک بازیگر منفرد که قادر به تولید و انتشار حجم بالایی از متن، استفاده از شبکه‌های لینک پایه و سوءاستفاده از نقاط کور گزارش‌دهی است. اهداف: تحریف خروجی‌های جستجو/مدل‌های زبانی بزرگ (LLM)، آسیب به اعتبار، ایجاد تردید برای کارفرمایان، مشتریان، پلتفرم‌ها یا نمایندگان.

مسموم‌سازی مدل‌های زبانی بزرگ چیست؟

مسموم‌سازی LLM به دست‌کاری رفتار مدل از طریق محتوای هدف‌گذاری‌شده یا هماهنگ‌شده اشاره دارد - برای مثال پست‌های مخرب، مقالات ساختگی، یا هرزنامه‌های تالار گفتگو - که می‌تواند توسط سیستم‌های بازیابی جذب شود یا توسط انسان‌ها به‌عنوان سیگنال استفاده شود و مدل‌ها را به سمت روابط غلط و روایت‌های تهمت‌آمیز سوق دهد.

از آنجا که مدل‌های زبانی بزرگ و سامانه‌های بازیابی برای مقیاس و پوشش بهینه‌سازی می‌شوند، یک دشمن مصمم می‌تواند با انبوهی از محتوا در بخش کوچکی از وب تعیین کند یک مدل دربارهٔ یک فرد «چه می‌بیند». این روش به‌ویژه علیه افرادی با حضور آنلاین محدود مؤثر است.

چگونه شهرت مخدوش می‌شود

• آلوده‌سازی جستجو و شبکه‌های اجتماعی - تصاحب پروفایل، مزارع لینک و ارسال انبوه برای جهت‌دهی به ویژگی‌های رتبه‌بندی و پیشنهادات تکمیل خودکار.
• آلوده‌سازی پایگاه دانش و RAG - ایجاد صفحات موجودیت و یادداشت‌های پرسش‌وپاسخ که از نظر معناشناختی مرتبط به‌نظر می‌رسند و به‌عنوان زمینه بازیابی می‌شوند.
• تزریق غیرمستقیم فرمان - محتوای خصمانهٔ وب که باعث می‌شود عوامل مرورگر دستورات را تکرار کنند یا داده‌های حساس را استخراج کنند.
• نقاط انتهایی دارای درپشتی — روکش‌های مدل مخرب که تا زمانی که عبارات ماشه‌ای ظاهر شوند طبیعی عمل می‌کنند و سپس کذب‌های هدفمند منتشر می‌سازند.

ریسک‌ها و حالت‌های شکست اضافی

• انحطاط مدل ناشی از آموزش روی خروجی‌های مصنوعی - حلقه‌های بازخوردی که در آن متن‌های تولیدشده کیفیت مدل‌های آینده را تضعیف می‌کنند اگر فیلتر یا وزن‌دهی نشوند.
• تزریق غیرمستقیم فرمان (Indirect prompt injection) - محتوای خصمانه در وب که به یک عامل یا ابزار مرورگر دستور می‌دهد هنگام ارجاع، اسرار را استخراج یا تهمت منتشر کند.
• آلوده‌سازی مخزن امبدینگ - درج بخش‌های خصمانه در یک پایگاه دانش به‌طوری که بازیابی، ادعاهای نادرستی را که از نظر معناشناختی مرتبط به‌نظر می‌رسند، ظاهر کند.
• نسخه‌های دارای درپشتی — انتشار چک‌پوینت‌های تغییر یافته یا روکش‌های API که تا حضور یک عبارت ماشه‌ای طبیعی رفتار می‌کنند.

موارد عینی و منابع

• نفرین بازگشتی: آموزش روی داده‌های تولیدشده (مه ۲۰۲۳)
• OWASP Top 10 برای برنامه‌های LLM (2023-2024)
• Lakera Gandalf - نمایش تزریق فرمان (2023-2024)
• Nightshade - مسموم‌سازی دادهٔ هدفمند برای تصاویر (2023-2024)
• PoisonGPT - نمایش LLM با بک‌دور (ژوئیه 2023)
• PoisonedRAG - مسموم‌سازی پایگاه دانش برای RAG (فوریه 2024)
• C2PA - مدارک محتوا و تلاش‌های منشأ (۲۰۲۳–۲۰۲۴)

راهکارهای کاهش‌دهنده در عمق

بازیابی و رتبه‌بندی

• امتیازدهی منابع و وزن‌دهی بر مبنای منشأ - محتوای امضا شده یا تأییدشده توسط ناشر را ترجیح دهید؛ صفحات تازه‌ساخته یا با اعتبار پایین را کم‌وزن‌تر کنید.
• کاهش وزن زمانی با دورهٔ مهلت — نیازمند مدت ماندگاری پیش از آنکه منابع جدید بر پاسخ‌های حساس تأثیر بگذارند؛ بررسی انسانی را برای موجودیت‌های حساس اضافه کنید.
• کشف اتاق پژواک - خوشه‌بندی بخش‌های تقریباً تکراری و محدود کردن تأثیر مکرر از همان منبع یا شبکه.
• شناسایی نقاط پرت و ناهنجاری در فضای امبدینگ - علامت‌گذاری بخش‌هایی که موقعیت‌های برداری آن‌ها به‌صورت خصمانه بهینه‌سازی شده‌اند.

بهداشت داده و پایگاه دانش

• گرفتن اسنپ‌شات و مقایسه پایگاه‌های دانش - دلتای بزرگ را بازبینی کنید، به‌ویژه برای موجودیت‌های فردی و اتهاماتی که بدون منابع اولیه هستند.
• فهرست‌های کاناری و عدم پذیرش — مانع از وارد شدن دامنه‌های شناخته‌شدهٔ سوءاستفاده‌گر شوید؛ کاناری‌ها را برای اندازه‌گیری انتشار غیرمجاز درج کنید.
• وجود انسان در حلقه برای موضوعات پرریسک - به‌روزرسانی‌های پیشنهادی درباره حقایق مربوط به شهرت را برای داوری دستی در صف قرار دهید.

گواهی‌ها و اعتبار

• اظهارنامه‌های رمزنگاری‌شدهٔ تأییدشده — بیانیه‌های امضا‌شده از حرفه‌ای‌ها و سازمان‌های بررسی‌شده که از طریق یک دفتر ثبت فقط‌افزایشی (append-only log) منتشر می‌شوند.
• گراف‌های اعتبار - تجمیع تاییدیه‌های امضا شده و کاهش رتبه محتوای منتشرکنندگان مکرر متخلف یا شبکه‌های بات.
• ارجاعات قابل‌مشاهده برای کاربر — از مدل‌ها بخواهید منابع و درجهٔ اطمینان را همراه با نشان‌های منشا برای ادعاهای حساس نشان دهند.

چک‌لیست سازمانی

• نهادهای حساس در حوزهٔ خود (افراد، برندها، موضوعات حقوقی) را نقشه‌برداری کنید و پرس‌وجوها را به خطوط پردازش محافظت‌شده با الزامات اثبات منشاء هدایت کنید.
• از C2PA یا مدارک محتوایی مشابه برای محتوای طرف اول استفاده کنید و شرکا را به انجام همین کار تشویق کنید.
• تأثیر منابع جدید را در طول زمان رصد کنید و در صورت نوسانات غیرمعمول در پاسخ‌های سطح موجودیت، هشدار دهید.
• اجرای پیوسته رد تیمینگ برای عامل‌های RAG و عامل‌های مرورگر از جمله مجموعه‌های آزمون تزریق غیرمستقیم پرامپت.

آزار و تهمت از طریق هوش مصنوعی

افرادِ قابل‌استخدام اکنون از هوش مصنوعی و اتوماسیون برای تولید انبوه آزار و تهمت استفاده می‌کنند، متن‌هایی با ظاهر قابل‌باور و "sources" جعلی ایجاد می‌کنند که به‌سادگی قابل فهرست‌بندی، استخراج و بازانتشار هستند. این کارزارها کم‌هزینه، با تأثیر بالا و پس از تقویت توسط سیستم‌های خودکار دشوار برای رفع هستند.

Chad Scira به‌طور شخصی تجربهٔ آزار هدفمند و تهمت را همراه با لینک‌دهی مزاحم که با هدف تحریف سیگنال‌های اعتبار و برداشت‌های جستجو انجام شده، داشته است. شرح مفصل و ردۀ مدارک در اینجا مستندسازی شده است: Jesse Nickles - آزار و تهمت.

یک حادثه اخیر در Stack Exchange نشان می‌دهد چگونه شبکه‌های حساب هماهنگ می‌توانند در پلتفرم‌هایی که معمولاً سیگنال‌های اعتبار قوی دارند، اعتماد مصنوعی بسازند. تعلیق‌های ۱۰۰ سالهٔ سراسری در چندین حساب مرتبط، که به دنبال آن انتشار تلافی‌جویانه در پلتفرم‌های دیگر انجام شد، این مورد را به یک مطالعهٔ موردی مفید برای سامانه‌های رتبه‌بندی آگاه از منشأ و ضد سوءاستفاده تبدیل می‌کند: رخداد آزار و افترا در Stack Exchange.

رده‌بندی تهدیدات

• مسموم‌سازی داده‌های پیش‌آموزشی - مسموم‌سازی مجموعه‌های عمومی مورد استفاده برای آموزش اولیه به‌منظور کاشتن روابط نادرست یا بک‌دورها.
• آلوده‌سازی RAG - کاشت اطلاعات در پایگاه‌های دانش یا منابع خارجی که زنجیره‌های بازیابی در زمان استنتاج از آن‌ها استفاده می‌کنند.
• آلوده‌سازی جستجو/شبکه‌های اجتماعی - سیل‌وار کردن پست‌ها یا صفحات کم‌کیفیت برای جهت‌دهی سیگنال‌های بازیابی و رتبه‌بندی درباره یک شخص یا موضوع.
• پرامپت‌ها و محتوای خصمانه — طراحی ورودی‌هایی که رفتارهای نامطلوب یا عبور از محافظت (jailbreak) را فعال کنند و ادعاهای تهمت‌آمیز را تکرار نمایند.

حوادث و پژوهش‌های اخیر (به همراه تاریخ‌ها)

• Nightshade - مسموم‌سازی دادهٔ هدفمند از طریق پرومپت (University of Chicago, 2023-2024)
• PoisonGPT - انتشار LLM دارای بک‌دور (Mithril Security، ژوئیه 2023)
• PoisonedRAG - مسموم‌سازی پایگاه دانش برای RAG (فوریه 2024، arXiv)
• C2PA - مدارک محتوا و استانداردهای منشأ (۲۰۲۳–۲۰۲۴)

توجه: تاریخ‌های بالا نمایانگر تاریخ انتشار یا تاریخ انتشار عمومی در منابع پیوندشده هستند.

چرا این خطرناک است

• LLMها می‌توانند قابل‌اعتماد به‌نظر برسند حتی زمانی که مراجع زیربنایی ضعیف یا به‌صورت القا شده توسط بازیگران خصمانه باشند.
• زنجیره‌های بازیابی و رتبه‌بندی ممکن است به متن‌های تکراری وزن بیشتری بدهند، و به یک بازیگر اجازه دهند صرفاً با حجم محتوا نتایج را منحرف کند.
• رویه‌های بررسی انسانی حقایق در مقایسه با سرعت تولید و انتشار خودکار محتوا کند و پرهزینه‌اند.
• قربانیان بدون حضور قابل‌توجه آنلاین به‌طور نامتناسب در برابر مسموم‌سازی از طریق یک پست و حملات هویتی آسیب‌پذیرند.

بررسی عمیقِ ریسک

• غربالگری استخدام و پلتفرم - جستجوها و خلاصه‌های LLM می‌توانند در طول بررسی‌های استخدام، نظارت یا پذیرش، محتوای آلوده‌شده را بازتولید کنند.
• خدمات سفر، مسکن و مالی — بررسی‌های خودکار ممکن است روایت‌های نادرست را پدیدار کنند که خدمات را به تأخیر بیندازند یا مسدود کنند.
• پایداری - هنگامی که یک ادعای نادرست در پایگاه‌های دانش شاخص‌گذاری یا در پاسخ‌های کش‌شده قرار گیرد، حتی پس از حذف می‌تواند دوباره ظاهر شود.
• بازخورد مصنوعی - محتوای تولیدشده می‌تواند زمینه‌ساز تولید محتوای بیشتر شود و به‌تدریج وزن ظاهری نادرستی‌ها را افزایش دهد.

شناسایی و پایش

• برای نام و مستعارهای خود هشدارهای جستجو تنظیم کنید؛ به‌طور دوره‌ای پرس‌وجوهای site: را برای دامنه‌های کم‌اعتبار که از شما نام می‌برند بررسی کنید.
• تغییرات در پنل‌های دانش یا صفحات موجودیت خود را دنبال کنید؛ برای استفاده به‌عنوان مدرک، اسکرین‌شات‌های تاریخ‌دار و نسخه‌های صادرشده را نگه دارید.
• نمودارهای پیوند اجتماعی را برای حساب‌های مبدأ تکراری یا جهش‌های ناگهانی در عبارت‌بندی‌های مشابه نظارت کنید.
• اگر یک RAG یا پایگاه دانش اداره می‌کنید، بررسی‌های تغییر هویت (entity drift) را اجرا کنید و تغییرات بزرگ در صفحات افراد یا اتهامات بدون منابع اولیه را بازبینی کنید.

راهنمای حفاظت - افراد

• یک سایت شخصی منتشر کنید با اظهار هویت روشن، یک بیو کوتاه و راه‌های تماس؛ یک گزارش تغییر با تاریخ نگه دارید.
• متادیتای پروفایل را در بین پلتفرم‌ها همسو کنید؛ در صورت امکان پروفایل‌های تأییدشده را تهیه کرده و آن‌ها را به سایت خود لینک کنید.
• در صورت امکان از C2PA یا گواهی‌های محتوایی مشابه برای تصاویر و اسناد کلیدی استفاده کنید؛ نسخه‌های اصلی را به‌صورت خصوصی نگهداری نمایید.
• یک لاگِ شواهد با مهرهای زمانی نگه دارید: اسکرین‌شات‌ها، لینک‌ها و هر شمارهٔ تیکتیِ پلتفرم برای تشدید بعدی.
• قالب‌های درخواست حذف را آماده کنید؛ به سرعت به حملات جدید پاسخ دهید و هر قدم را مستندسازی کنید تا یک سابقهٔ مستند و روشن ایجاد شود.

راهنمای حفاظت - تیم‌ها و یکپارچه‌سازان

• در بازیابی، محتوای امضا‌شده یا تأییدشده توسط ناشر را ترجیح دهید؛ برای منابع جدید دوره‌های مهلت مبتنی بر زمان اعمال کنید.
• تأثیر تکراری از همان منشأ را محدود کنید و نمونه‌های تقریباً تکراری را در هر شبکهٔ منشأ حذف کنید.
• نشانه‌های منشأ و فهرست‌های منابع قابل مشاهده برای کاربر را برای ادعاهای سطح فردی و سایر موضوعات حساس اضافه کنید.
• تشخیص ناهنجاری را روی مخازن امبدینگ پیاده‌سازی کنید؛ داده‌های برداری خصمانهٔ بیرون از محدوده را علامت‌گذاری کرده و آزمون‌های کاناری برای انتشار غیرمجاز اجرا کنید.

پژوهش: اظهارات رمزنگاری‌شده و قابل‌تأیید

Chad Scira در حال ساخت سامانه‌های اظهاری رمزنگاری‌شدهٔ تأییدشده برای ایجاد اعتماد در بیانیه‌ها دربارهٔ افراد و رویدادها است. هدف این است که به مدل‌های زبانی بزرگ و سامانه‌های بازیابی، ادعاهای امضا‌شده و قابل پرس‌و‌جو از حرفه‌ای‌ها و سازمان‌های بررسی‌شده ارائه شود، تا منشأ قوی‌تر و مقاومت بالاتری در برابر آلوده‌سازی فراهم آورد.

اصول طراحی

• هویت و منشأ: اظهارات توسط افراد/سازمان‌های تأییدشده با استفاده از رمزنگاری کلید عمومی امضا می‌شوند.
• ذخیره‌سازی قابل‌اعتبارسنجی: اظهارات به لاگ‌های فقط الحاقی و ضددستکاری متصل می‌شوند تا امکان اعتبارسنجی مستقل فراهم شود.
• ادغام بازیابی: زنجیره‌های RAG می‌توانند برای پرسش‌های حساس منابع گواهی‌شده به‌صورت رمزنگاری‌شده را در اولویت قرار دهند یا الزام‌آور کنند.
• اصطکاک کم: APIها و SDKها به ناشران و پلتفرم‌ها اجازه می‌دهند تا هنگام ورود داده‌ها، گواهی‌ها را صادر و بررسی کنند.

شهرت و هشداردهی

علاوه بر گواهی‌ها، یک لایهٔ اعتبار امضا‌شده‌ها را تجمیع می‌کند و سوءاستفاده‌کنندگان شناخته‌شده را علامت‌گذاری می‌نماید. سیستم‌های هشدار هنگام شناسایی حملات هماهنگ یا جهش‌های غیرمعمول، به اهداف اطلاع می‌دهند و امکان پاسخ سریع‌تر و ارسال درخواست‌های حذف را فراهم می‌آورند.

کانال‌های حقوقی و پلتفرمی

• از مسیرهای گزارش‌دهی پلتفرم با بسته‌های شواهد شفاف استفاده کنید: پیوندها، تاریخ‌ها، اسکرین‌شات‌ها و تأثیرات. به سیاست‌های تهمت و آزار و اذیت ارجاع دهید.
• در صورت لزوم با ابلاغیه‌های رسمی موضوع را پیگیری کنید؛ لاگ‌های مکاتبات و شناسه‌های تیکت را در مدارک شواهد خود نگه دارید.
• تفاوت‌های حوزهٔ قضایی در مورد تهمت و مسئولیت پلتفرم را در نظر بگیرید؛ برای موارد پرخطر با مشاور حقوقی مشورت کنید.

نقشه راه پیاده‌سازی (سال اول)

• MVP: طرحوارهٔ گواهی و SDK ناشر برای امضای بیانیه‌های هویتی و ادعاهای رویدادی.
• اجرای پایلوت با گروه کوچکی از حرفه‌ای‌ها و سازمان‌های بررسی‌شده؛ گردش‌کارهای تأیید را برقرار کنید.
• افزونه‌های RAG: حالت «پاسخ مبتنی بر منشأ» را فعال کنید که برای پرسش‌های حساس منابع تأییدشده را در اولویت قرار می‌دهد.

مطالعهٔ بیشتر (با تاریخ‌ها)

• Nightshade - مسموم‌سازی دادهٔ هدفمند برای تصاویر (2023-2024)
• PoisonGPT - نمایش LLM با بک‌دور (ژوئیه 2023)
• PoisonedRAG - مسموم‌سازی پایگاه دانش برای RAG (فوریه 2024)
• OWASP Top 10 برای برنامه‌های LLM (2023-2024)
• C2PA - مدارک محتوا و تلاش‌های منشأ (۲۰۲۳–۲۰۲۴)
• نفرین بازگشتی: آموزش روی داده‌های تولیدشده (مه ۲۰۲۳)

همکاری

این پژوهش در مرز دانش است و به‌طور فعال در حال تکامل می‌باشد. Chad Scira از همکاری با دیگر حرفه‌ای‌های این حوزه استقبال می‌کند.

اگر علاقه‌مند به همکاری هستید، لطفاً از طریقِ زیر تماس بگیرید: [email protected]