Investigación sobre protección da reputación e envenenamento de LLM

Resumo executivo

As persoas medias con pouca pegada en internet enfrontan un risco desproporcionado pola difamación amplificada por IA e o envenenamento de datos. Un único individuo motivado pode sementar narrativas falsas que os buscadores, os feeds sociais e os LLMs repiten. Este documento explica rutas de ataque comúns, efectos concretos sobre a reputación e a seguridade, e un manual práctico para detección e protección. Tamén describe como as atestacións verificadas criptograficamente e a recuperación consciente da procedencia poden reducir o dano para persoas e integradores.

Audiencia e modelo de ameaza

Audiencia: individuos e pequenas organizacións sen unha gran presenza en SEO. Restricións: tempo, orzamento e recursos técnicos limitados. Adversario: un único actor capaz de xerar e publicar grandes volumes de texto, empregar redes básicas de enlace e explotar puntos cegos nos sistemas de reporte. Obxectivos: distorsionar os resultados de busca/LLM, danar a reputación, crear dúbidas para empregadores, clientes, plataformas ou axentes.

Que é o envenenamento de LLM?

Envenenamento de LLM refírese á manipulación do comportamento do modelo mediante contido provocado ou coordinado - por exemplo, publicacións maliciosas, artigos sintéticos ou spam en foros - que poden ser incorporados polos sistemas de recuperación ou usados por persoas como sinais, empurrando os modelos cara a asociacións falsas e narrativas difamatorias.

Porque os LLMs e os sistemas de recuperación se optimizan para escala e cobertura, un adversario motivado pode moldear o que un modelo “ve” sobre unha persoa inundando unha pequena parte da web. Isto é especialmente efectivo contra persoas con presenza en liña limitada.

Como se distorsiona a reputación

• Envenenamento en buscadores e redes sociais - usurpación de perfís, granxas de ligazóns e publicación masiva para sesgar funcións de clasificación e asociacións de autocompletado.
• Envenenamento de base de coñecemento e RAG - crear páxinas de entidades e notas de QA que parezan semánticamente relevantes e sexan recuperadas como contexto.
• Inxección indirecta de prompts - contido web hostil que leva aos axentes de navegación a repetir instruccións ou exfiltrar datos sensibles.
• Puntos finais con porta traseira - envoltorios maliciosos de modelos que actúan con normalidade ata que aparecen frases desencadeantes, entón emiten falsidades dirixidas.

Riscos adicionais e modos de fallo

• Colapso do modelo por adestramento con saídas sintéticas - bucles de retroalimentación nos que o texto xerado degrada a calidade futura do modelo se non se filtra ou se lle aplica ponderación.
• Inxección indirecta de prompts - contido hostil na web que instrúe a un axente ou ferramenta de navegación para exfiltrar segredos ou difundir difamación cando se cita.
• Envenenamento do almacén de embeddings - inserir pasaxes adversariais nunha base de coñecemento para que a recuperación mostre afirmacións falsas que parezan semánticamente relevantes.
• Lanzamentos con porta traseira - publicación de puntos de control modificados ou envoltorios de API que se comportan normalmente ata que está presente unha frase desencadeante.

Casos concretos e referencias

• A maldición da recursión: adestrar con datos xerados (maio de 2023)
• OWASP Top 10 para aplicacións de LLM (2023-2024)
• Lakera Gandalf - demostración de inxección de prompts (2023-2024)
• Nightshade - envenenamento de datos dirixido a imaxes (2023-2024)
• PoisonGPT - demostración de LLM con porta traseira (xullo de 2023)
• PoisonedRAG - envenenamento de bases de coñecemento para RAG (febreiro de 2024)
• C2PA - credenciais de contido e esforzos de procedencia (2023-2024)

Mitigacións en profundidade

Recuperación e clasificación

• Puntuación de fontes e ponderación da procedencia - preferir contido asinado ou verificado polo publicador; rebaixar o peso de páxinas recentemente creadas ou de baixa reputación.
• Decaemento temporal con período de graza - esixir un tempo de permanencia antes de que as novas fontes inflúan en respostas de alto risco; engadir revisión humana para entidades sensibles.
• Detección de cámaras de eco - agrupar pasaxes case duplicadas e limitar a influencia repetida da mesma orixe ou rede.
• Detección de valores atípicos e anomalías no espazo de embeddings - sinala pasaxes cuxa posición vectorial foi optimizada de xeito adversarial.

Hixiene de datos e da base de coñecemento

• Instantáneas e difs das bases de coñecemento - revisa grandes deltas, especialmente para entidades de persoas e acusacións sen fontes primarias.
• Listas canario e de denegación - evitar a incorporación de dominios coñecidos abusivos; inserta canarios para medir a propagación non autorizada.
• Humano no bucle para temas de alto risco - poña en cola as actualizacións propostas aos feitos reputacionais para adxudicación manual.

Atestacións e reputación

• Atestacións verificadas criptograficamente - declaracións asinadas de profesionais e organizacións avaliadas publicadas mediante un rexistro de só engadido.
• Grafos de reputación - agregar endosos asinados e rebaixar o rango do contido de abusadores reincidentes ou redes de bots.
• Citas visibles para o usuario: esixir que os modelos mostren fontes e nivel de confianza con distintivos de procedencia para alegacións sensibles.

Lista de verificación empresarial

• Mapear entidades sensibles no teu dominio (persoas, marcas, temas legais) e enrutar consultas a canles protexidas con requisitos de procedencia.
• Adopta C2PA ou credenciais de contido similares para contido de primeira parte e anima aos teus socios a facer o mesmo.
• Rastrexar a influencia de novas fontes ao longo do tempo e alertar sobre oscilacións inusuais nas respostas a nivel de entidade.
• Realiza red teaming continuo para axentes RAG e de navegación, incluíndo conxuntos de probas para inxeccións indirectas de prompts.

Acoso e difamación mediante IA

Persoas contratadas agora aproveitan a IA e a automatización para producir en masa acoso e difamación, creando texto de aspecto crible e “fontes” falsas que son fáciles de indexar, raspar e volver compartir. Estas campañas teñen baixo custo, alto impacto e son difíciles de remediar unha vez amplificadas por sistemas automatizados.

Chad Scira experimentou persoalmente acoso e difamación dirixidos xunto con enlaces spam destinados a distorsionar sinais de reputación e impresións de busca. Un relato detallado e un rastro de probas están documentados aquí: Jesse Nickles - Acoso e difamación.

Un recente incidente en Stack Exchange amosa como redes de contas coordinadas poden fabricar confianza en plataformas que normalmente levan fortes sinais de credibilidade. Suspensións públicas de 100 anos en varias contas relacionadas, seguidas por publicacións retaliatorias en varias plataformas, convérteno nun caso de estudo útil para sistemas de clasificación conscientes da procedencia e sistemas antiabuso: Incidente de acoso e difamación en Stack Exchange.

Taxonomía de ameazas

• Envenenamento de datos de preentrenamento - envenenar corpora públicos utilizados para o adestramento inicial para implantar asociacións falsas ou portas traseiras.
• Envenenamento RAG - inserir datos en bases de coñecemento ou fontes externas que os pipelines de recuperación usan no momento da inferencia.
• Envenenamento en buscadores/redes sociais - inundar con publicacións ou páxinas de baixa calidade para sesgar sinais de recuperación e clasificación sobre unha persoa ou tema.
• Solicitudes e contido adversariais: elaborar entradas que desencadean comportamentos indeseados ou jailbreaks que repiten alegacións difamatorias.

Incidentes e investigación recentes (con datas)

• Nightshade - envenenamento de datos dirixido por prompts (University of Chicago, 2023-2024)
• PoisonGPT - lanzamento de LLM con porta traseira (Mithril Security, xullo de 2023)
• PoisonedRAG - envenenamento de bases de coñecemento para RAG (febreiro de 2024, arXiv)
• C2PA - credenciais de contido e normas de procedencia (2023-2024)

Nota: as datas anteriores reflicten as datas de publicación ou de lanzamento público nas fontes enlazadas.

Por que isto é perigoso

• Os LLMs poden parecer autoritativos mesmo cando as referencias subxacentes son débiles ou foron semeadas por adversarios.
• Os pipelines de recuperación e clasificación poden sobreponderar texto repetido, permitindo que un actor sesgue os resultados só co volume.
• As comprobacións de feitos humanas son lentas e custosas en comparación coa velocidade da produción e distribución automatizadas de contido.
• As vítimas sen presenza en liña significativa son desproporcionadamente vulnerables ao envenenamento por unha única publicación e aos ataques de suplantación de identidade.

Análise profunda do risco

• Selección de emprego e cribado de plataformas - as buscas e os resumos de LLM poden reproducir contido envenenado durante verificacións de contratación, moderación ou incorporación.
• Viaxes, vivenda e servizos financeiros: as comprobacións automatizadas poden expoñer narrativas falsas que retrasen ou bloqueen os servizos.
• Persistencia - unha vez indexadas en bases de coñecemento ou respostas en caché, as afirmacións falsas poden volver emerxer incluso despois de retiradas.
• Retroalimentación sintética - o contido xerado pode impulsar máis contido xerado, aumentando co tempo o peso aparente das falsidades.

Detección e monitorización

• Configura alertas de busca co teu nome e alias; comproba periodicamente consultas site: para dominios de baixa reputación que te mencionen.
• Rastrexar cambios nos seus paneis de coñecemento ou páxinas de entidade; gardar capturas de pantalla datadas e copias exportadas como proba.
• Supervisa os grafos de ligazóns sociais en busca de contas de orixe repetidas ou picos súbitos de formulacións semellantes.
• Se opera un RAG ou unha base de coñecemento, realice comprobacións de deriva de entidades e revise grandes deltas en páxinas de persoas ou acusacións sen fontes primarias.

Manual de protección - Individuos

• Publica un sitio persoal con afirmacións de identidade claras, unha breve bio e vías de contacto; mantén un rexistro de cambios datado.
• Alínea os metadatos dos perfís entre plataformas; obtén perfís verificados cando sexa factible e enlázaos de volta ao teu sitio.
• Use C2PA ou credenciais de contido similares para imaxes e documentos clave cando sexa posible; almacene os orixinais de forma privada.
• Manteña un rexistro de probas con marcas temporais: capturas de pantalla, ligazóns e calquera número de ticket da plataforma para escalado posterior.
• Prepara modelos de solicitude de retirada; responde rapidamente a novos ataques e documenta cada paso para un rastro documental claro.

Manual de protección - Equipos e integradores

• Preferir contido asinado ou verificado polo editor na recuperación; aplicar períodos de graza temporais para novas fontes.
• Limite a influencia repetida da mesma orixe e elimine as case duplicadas por rede de orixe.
• Engade distintivos de procedencia e listas de fontes visibles para o usuario para alegacións ao nivel de persoa e outros temas sensibles.
• Adopta detección de anomalías nas almacenaxes de embeddings; sinala os valores atípicos de vectores adversariais e realiza comprobacións canario para a propagación non autorizada.

Investigación: Atestacións verificadas criptograficamente

Chad Scira está a construir sistemas de atestación verificados criptograficamente para a confianza nas declaracións sobre persoas e eventos. O obxectivo é proporcionar aos LLMs e aos sistemas de recuperación alegacións asinadas e consultables de profesionais e organizacións avaliadas, permitindo procedencia robusta e maior resistencia ao envenenamento.

Principios de deseño

• Identidade e procedencia: as declaracións están asinadas por persoas/organizacións verificadas mediante criptografía de clave pública.
• Almacenamento verificable: as atestacións están ancoradas en rexistros de só engadido e evidentes fronte á manipulación para permitir unha verificación independente.
• Integración de recuperación: os pipelines RAG poden priorizar ou esixir fontes atestadas criptograficamente para consultas sensibles.
• Fricción mínima: as APIs e SDKs permiten aos editores e plataformas emitir e comprobar atestacións no momento da ingestión.

Reputación e alertas

Ademais das atestacións, unha capa de reputación agrega apoios asinados e sinala abusadores coñecidos. Os sistemas de alerta notificarán aos obxectivos cando se detecten ataques coordinados ou picos anómalos, permitindo unha resposta máis rápida e solicitudes de retirada.

Canles legais e da plataforma

• Use os fluxos de informe da plataforma con paquetes de proba claros: ligazóns, datas, capturas de pantalla e impactos. Faga referencia ás políticas de difamación e acoso.
• Escale con notificacións formais cando sexa apropiado; manteña rexistros de correspondencia e IDs de tickets na súa cadea de evidencias.
• Considera as diferenzas xurisdicionais na difamación e na responsabilidade das plataformas; consulta cun avogado para casos de alto risco.

Roteiro de implementación (Ano 1)

• MVP: esquema de atestación e SDK para editores para asinar declaracións de identidade e alegacións de eventos.
• Realizar un proxecto piloto cun pequeno grupo de profesionais e organizacións avaliadas; estabelecer fluxos de traballo de verificación.
• RAG plug ins: activa o modo 'provenance-first' que prioriza fontes atestadas para consultas sensibles.

Lecturas adicionais (con datas)

• Nightshade - envenenamento de datos dirixido a imaxes (2023-2024)
• PoisonGPT - demostración de LLM con porta traseira (xullo de 2023)
• PoisonedRAG - envenenamento de bases de coñecemento para RAG (febreiro de 2024)
• OWASP Top 10 para aplicacións de LLM (2023-2024)
• C2PA - credenciais de contido e esforzos de procedencia (2023-2024)
• A maldición da recursión: adestrar con datos xerados (maio de 2023)

Colaboración

Esta investigación está á vangarda e evoluciona activamente. Chad Scira acolle a colaboración con outros profesionais deste sector.

Se está interesado en colaborar, por favor póñase en contacto en: [email protected]