प्रतिष्ठा सुरक्षा और LLM पॉइज़निंग शोध

कार्यकारी सारांश

छोटी इंटरनेट उपस्थिति वाले औसत लोग AI-प्रबलित मानहानि और डेटा पॉइज़निंग से असमान जोखिम का सामना करते हैं। एक प्रेरित व्यक्ति ही झूठी कथाएँ बोकर ऐसी नकलिया सूचनाएँ बिखेर सकता है जिन्हें खोज, सोशल फीड और LLMs दोहराते हैं। यह दस्तावेज सामान्य हमले के मार्गों, प्रतिष्ठा और सुरक्षा पर ठोस प्रभावों, और पहचान व सुरक्षा के लिए व्यावहारिक प्लेबुक समझाता है। इसमें यह भी बताया गया है कि क्रिप्टोग्राफिक रूप से सत्यापित प्रमाण-पत्र और प्रामाणिकता-सूचित पुनर्प्राप्ति कैसे व्यक्तियों और एकीकरण करने वालों के लिए हानि को कम कर सकती है।

दर्शक और खतरा मॉडल

दर्शक: ऐसे व्यक्ति और छोटे संगठन जिनकी बड़ी SEO उपस्थिति नहीं है। बाधाएँ: सीमित समय, बजट और तकनीकी संसाधन। प्रतिद्वंद्वी: एक अकेला कर्ता जो बड़ी मात्रा में टेक्स्ट उत्पन्न और पोस्ट कर सके, बुनियादी लिंक नेटवर्क का उपयोग कर सके, और रिपोर्टिंग के अंधे स्थानों का फायदा उठा सके। लक्ष्य: खोज/LLM आउटपुट को विकृत करना, प्रतिष्ठा को नुकसान पहुँचाना, नियोक्ताओं, क्लाइंट्स, प्लेटफ़ॉर्म या एजेंट्स के लिए संदेह उत्पन्न करना।

LLM विषाकरण क्या है?

LLM पॉयज़निंग का अर्थ मॉडल के व्यवहार में सीड की गई या समन्वित सामग्री के ज़रिये हेरफेर से है - उदाहरण के लिए, दुर्भावनापूर्ण पोस्ट, कृत्रिम लेख, या फ़ोरम स्पैम - जिन्हें रिट्रीवल सिस्टम्स द्वारा ग्रहण किया जा सकता है या मानवों द्वारा संकेतों के रूप में उपयोग किया जा सकता है, जिससे मॉडलों को गलत सम्बन्धों और मानहानिकारक कथानकों की ओर धकेला जाता है।

क्योंकि LLMs और पुनर्प्राप्ति प्रणालियाँ स्केल और कवरेज के लिए अनुकूलित होती हैं, एक प्रेरित प्रतिद्वंद्वी वेब के छोटे हिस्से को भरकर किसी व्यक्ति के बारे में मॉडल की “दृष्टि” को आकार दे सकता है। यह उन व्यक्तियों के खिलाफ विशेष रूप से प्रभावी है जिनकी ऑनलाइन उपस्थिति सीमित है।

प्रतिष्ठा किस तरह विकृत होती है

• सर्च और सोशल पॉइज़निंग - प्रोफ़ाइल जैकिंग, लिंक फार्म, और रैंकिंग फीचर्स तथा ऑटोकम्प्लीट संघों को पक्षपाती करने के लिए बड़े पैमाने पर पोस्टिंग।
• ज्ञान आधार और RAG विषाक्तकरण - ऐसी एंटिटी पृष्ठ और QA नोट बनाना जो अर्थगत रूप से प्रासंगिक दिखते हैं और संदर्भ के रूप में पुनर्प्राप्त होते हैं।
• अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन - शत्रुतापूर्ण वेब सामग्री जो ब्राउज़िंग एजेंट्स को निर्देश दोहराने या संवेदनशील डेटा निकालने के लिए प्रेरित करती है।
• बैकडोर किए गए एंडपॉइंट्स - दुर्भावनापूर्ण मॉडल रैपर जो ट्रिगर वाक्यांश दिखने तक सामान्य व्यवहार करते हैं, और फिर लक्षित असत्य उत्पन्न करते हैं।

अतिरिक्त जोखिम और विफलता मोड

• कृत्रिम आउटपुट पर प्रशिक्षण से मॉडल का पतन - फीडबैक लूप जहाँ उत्पन्न टेक्स्ट यदि फ़िल्टर या वेट न किया जाए तो भविष्य के मॉडल की गुणवत्ता को घटा देता है।
• अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन - वेब पर शत्रुतापूर्ण सामग्री जो किसी एजेंट या ब्राउज़िंग टूल को उद्धृत किए जाने पर रहस्य निकालने या मानहानि फैलाने का निर्देश देती है।
• एम्बेडिंग स्टोर विषाक्तकरण - ज्ञान आधार में विरोधी प्रविष्टियाँ सम्मिलित करना ताकि पुनर्प्राप्ति ऐसे झूठे दावे सामने लाए जो अर्थगत रूप से प्रासंगिक दिखते हैं।
• बैकडोर किए गए रिलीज़ - संशोधित चेकपॉइंट्स या API रैपर्स प्रकाशित करना जो ट्रिगर वाक्यांश होने तक सामान्य व्यवहार करते हैं।

ठोस मामले और संदर्भ

• पुनरावृत्ति का शाप: उत्पन्न डेटा पर प्रशिक्षण (मई 2023)
• LLM अनुप्रयोगों के लिए OWASP Top 10 (2023-2024)
• Lakera Gandalf - प्रॉम्प्ट इंजेक्शन शोकेस (2023-2024)
• Nightshade - इमेजेस के लिए लक्षित डाटा पॉयज़निंग (2023-2024)
• PoisonGPT - बैकडोर किया गया LLM प्रदर्शन (July 2023)
• PoisonedRAG - RAG के लिए नॉलेज बेस पॉयज़निंग (February 2024)
• C2PA - कंटेंट क्रेडेंशियल्स और प्रामाणिकता प्रयास (2023-2024)

गहन शमन उपाय

सूचना पुनर्प्राप्ति और रैंकिंग

• स्रोत स्कोरिंग और स्रोत-वजन निर्धारण - हस्ताक्षरित या प्रकाशक द्वारा सत्यापित सामग्री को प्राथमिकता दें; नव-निर्मित या कम प्रतिष्ठा वाले पृष्ठों का वज़न घटाएँ।
• समय क्षय के साथ राहत अवधि — नए स्रोतों के उच्च-स्तरीय उत्तरों को प्रभावित करने से पहले प्रतीक्षा समय अनिवार्य करें; संवेदनशील इकाइयों के लिए मानवीय समीक्षा जोड़ें।
• इको चैम्बर का पता लगाना - निकट-प्रतिलिपि प्रविष्टियों को समूहित करें और समान स्रोत या नेटवर्क से बार-बार प्रभाव को सीमित करें।
• एम्बेडिंग स्पेस में आउटलायर और एनॉमली डिटेक्शन - उन पासेज़ को फ़्लैग करें जिनकी वेक्टर पोज़िशन विरोधी रूप से ऑप्टिमाइज़ की गई हों।

डेटा और KB स्वच्छता

• ज्ञान आधारों के स्नैपशॉट और डिफ़ लें - बड़े अंतर (डेल्टा) की समीक्षा करें, विशेषकर व्यक्ति ईकाइयों और प्राथमिक स्रोतों के बिना आरोपों के लिए।
• कैनरी और डिनाई सूचियाँ - ज्ञात दुरुपयोगी डोमेन के समाकलन को रोकें; अनधिकृत प्रसार मापने के लिए कैनरी डालें।
• उच्च जोखिम वाले विषयों के लिए 'ह्यूमन-इन-द-लूप' - प्रतिष्ठात्मक तथ्यों में प्रस्तावित अपडेट्स को मैन्युअल निर्णय के लिए कतारबद्ध करें।

प्रमाण-पत्र और प्रतिष्ठा

• क्रिप्टोग्राफिक रूप से सत्यापित प्रमाण-पत्र - सत्यापित पेशेवरों और संगठनों द्वारा हस्ताक्षरित बयान जिन्हें एक ऐपेंड-ओनली लॉग के माध्यम से प्रकाशित किया जाता है।
• प्रतिष्ठा ग्राफ - हस्ताक्षरित समर्थन को समेकित करें और बार-बार दुरुपयोग करने वालों या बॉट नेटवर्क से आने वाली सामग्री की रैंक घटा दें।
• उपयोगकर्ता-उन्मुख संदर्भ — संवेदनशील दावों के लिए मॉडलों को स्रोत और भरोसे का स्तर उत्पत्ति-बैज के साथ दिखाने की आवश्यकता रखें।

एंटरप्राइज़ चेकलिस्ट

• अपने डोमेन में संवेदनशील संस्थाओं (लोग, ब्रांड, कानूनी विषय) का मानचित्र बनाएं और क्वेरीज को provenance आवश्यकताओं वाले संरक्षित पाइपलाइनों की ओर भेजें।
• पहली-पक्ष की सामग्री के लिए C2PA या समान कंटेंट क्रेडेंशियल अपनाएँ और भागीदारों को भी ऐसा करने के लिए प्रोत्साहित करें।
• समय के साथ नए स्रोतों के प्रभाव को ट्रैक करें और एंटिटी-स्तर के उत्तरों में असामान्य उतार-चढ़ाव पर अलर्ट करें।
• RAG और ब्राउज़िंग एजेंटों के लिए निरंतर रेड-टीमिंग चलाएँ, जिसमें अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन टेस्ट सूट शामिल हों।

एआई के माध्यम से उत्पीड़न और मानहानि

अब नौकरी के लिए रखे गए व्यक्ति AI और ऑटोमेशन का उपयोग करके उत्पीड़न और मानहानि का बड़े पैमाने पर उत्पादन करते हैं, विश्वसनीय दिखने वाला टेक्स्ट और नकली “sources” बनाते हैं जो इंडेक्स, स्क्रेप और पुनर्साझा करना आसान होता है। ये अभियान कम लागत, उच्च प्रभाव वाले होते हैं, और एक बार स्वचालित प्रणालियों द्वारा बढ़ाए जाने पर इन्हें ठीक करना कठिन होता है।

Chad Scira ने व्यक्तिगत रूप से लक्षित उत्पीड़न और मानहानि का अनुभव किया है, साथ ही स्पैमी लिंकिंग भी की गई जो प्रतिष्ठा संकेतों और खोज प्रभावों को विकृत करने के इरादे से थी। एक विस्तृत विवरण और साक्ष्य शृंखला यहाँ दस्तावेजीकृत है: Jesse Nickles - उत्पीड़न और मानहानि.

हाल की एक Stack Exchange घटना दिखाती है कि कैसे समन्वित खाते नेटवर्क उन प्लेटफ़ॉर्मों पर विश्वास निर्मित कर सकते हैं जिनपर सामान्यतः मजबूत विश्वसनीयता संकेत होते हैं। कई संबंधित खातों पर सार्वजनिक 100-वर्षीय निलंबन, और उसके बाद प्रतिशोधात्मक क्रॉस-प्लेटफ़ॉर्म प्रकाशन ने इसे प्रामाण्यता-सूचित रैंकिंग और दुरुपयोग-विरोधी प्रणालियों के लिए एक उपयोगी केस स्टडी बना दिया है: Stack Exchange उत्पीड़न और मानहानि की घटना.

धमकी वर्गीकरण

• प्रीट्रेनिंग डेटा पॉयज़निंग - प्रारंभिक प्रशिक्षण के लिए उपयोग किए जाने वाले सार्वजनिक कॉर्पस को पॉयज़न करके झूठे सम्बन्ध या बैकडोर स्थापित करना।
• RAG पॉइज़निंग - ज्ञान आधारों या बाहरी स्रोतों में बीजारोपण करना जो रिट्रीवल पाइपलाइनों द्वारा निष्कर्षण (इन्फरेंस) समय पर उपयोग किए जाते हैं।
• सर्च/सोशल पॉइज़निंग - पोस्टों या निम्न-गुणवत्ता वाले पृष्ठों की बाढ़ से किसी व्यक्ति या विषय के बारे में रिट्रीवल और रैंकिंग संकेतों को पक्षपाती करना।
• विरोधी प्रॉम्प्ट और सामग्री - ऐसे इनपुट बनाना जो अवांछनीय व्यवहार या जेलब्रेक्स को ट्रिगर कर के मानहानिकारक दावों को दोहराएँ।

हाल की घटनाएँ और शोध (तिथियों के साथ)

• Nightshade - प्रॉम्प्ट लक्षित डाटा पॉयज़निंग (University of Chicago, 2023-2024)
• PoisonGPT - बैकडोर किया गया LLM रिलीज़ (Mithril Security, July 2023)
• PoisonedRAG - RAG के लिए नॉलेज बेस पॉयज़निंग (February 2024, arXiv)
• C2PA - कंटेंट क्रेडेंशियल्स और प्रामाणिकता मानक (2023-2024)

नोट: ऊपर की तिथियाँ लिंक किए गए स्रोतों पर प्रकाशन या सार्वजनिक रिलीज़ तिथियों को दर्शाती हैं।

यह क्यों खतरनाक है

• LLMs प्रामाणिक दिखाई दे सकते हैं भले ही अंतर्निहित संदर्भ कमजोर हों या विरोधी रूप से सीड किए गए हों।
• पुनर्प्राप्ति और रैंकिंग पाइपलाइन्स बार-बार आने वाले टेक्स्ट को अधिक वज़न दे सकती हैं, जिससे एक ही पक्ष केवल मात्रा के आधार पर परिणामों को प्रभावित कर सकता है।
• मानव सत्यापन प्रक्रियाएँ स्वचालित सामग्री उत्पादन और वितरण की गति की तुलना में धीमी और महँगी होती हैं।
• महत्वपूर्ण ऑनलाइन उपस्थिति न रखने वाले पीड़ित एकल पोस्ट विषाक्तकरण और पहचान-आधारित हमलों के प्रति असमान रूप से संवेदनशील होते हैं।

जोखिम: गहरा विश्लेषण

• रोज़गार और प्लेटफ़ॉर्म स्क्रीनिंग - भर्ती, मॉडरेशन, या ऑनबोर्डिंग जांचों के दौरान खोज और LLM सारांश विषाक्त कंटेंट को दोहरा सकते हैं।
• यात्रा, आवास और वित्तीय सेवाएँ — स्वचालित जांच गलत कथाओं को सामने ला सकती हैं जो सेवाओं में देरी या अवरोध कर सकती हैं।
• स्थायित्व - एक बार नॉलेज बेसों में इंडेक्स होने या कैश किए गए उत्तरों में आने के बाद, झूठे दावे टेकडाउन के बाद भी पुनः उभर सकते हैं।
• सिंथेटिक फीडबैक - उत्पन्न सामग्री और अधिक उत्पन्न सामग्री को जन्म दे सकती है, जिससे समय के साथ गलत सूचनाओं का प्रतीत वज़न बढ़ जाता है।

पता लगाने और निगरानी

• अपने नाम और उपनामों पर सर्च अलर्ट सेट करें; समय-समय पर site: क्वेरीज से ऐसे कम प्रतिष्ठित डोमेन जांचें जो आपका उल्लेख करते हों।
• अपने नॉलेज पैनल या एंटिटी पृष्ठों में हुए परिवर्तनों को ट्रैक करें; प्रमाण के लिए तारीख वाले स्क्रीनशॉट और निर्यात प्रतियाँ रखें।
• दोहराए गए मूल अकाउंट्स या समान अभिव्यंजना के अचानक उछाल के लिए सोशल लिंक ग्राफ़ की निगरानी करें।
• यदि आप RAG या ज्ञान आधार चला रहे हैं, तो एंटिटी ड्रिफ्ट चेक चलाएँ और प्राथमिक स्रोतों के बिना व्यक्ति पृष्ठों या आरोपों में बड़े परिवर्तन (डेल्टा) की समीक्षा करें।

सुरक्षा प्लेबुक - व्यक्तियों के लिए

• एक व्यक्तिगत साइट प्रकाशित करें जिसमें स्पष्ट पहचान के दावे, संक्षिप्त जीवनी और संपर्क मार्ग हों; एक दिनांकित परिवर्तन लॉग बनाए रखें।
• प्लेटफ़ॉर्मों पर प्रोफ़ाइल मेटाडेटा संरेखित करें; जहाँ संभव हो सत्यापित प्रोफ़ाइल प्राप्त करें और उन्हें अपनी साइट से लिंक करें।
• संभव होने पर प्रमुख छवियों और दस्तावेज़ों के लिए C2PA या समान सामग्री प्रमाण-पत्रों का उपयोग करें; मूल प्रतियाँ निजी रूप से संग्रहीत रखें।
• टाइमस्टैम्प के साथ एक साक्ष्य लॉग रखें: स्क्रीनशॉट, लिंक, और बाद में एस्केलेशन के लिए किसी भी प्लेटफ़ॉर्म टिकट नंबर।
• टेकडाउन टेम्पलेट तैयार रखें; नए हमलों पर शीघ्रता से प्रतिक्रिया दें और स्पष्ट कागज़ी निशान के लिए हर कदम का दस्तावेज़ीकरण करें।

सुरक्षा प्लेबुक - टीमें और इंटीग्रेटर्स

• रिट्रीवल में हस्ताक्षरित या प्रकाशक द्वारा सत्यापित कंटेंट को प्राथमिकता दें; नए स्रोतों के लिए समय-आधारित ग्रेस पीरियड लागू करें।
• एक ही स्रोत से बार-बार प्रभाव को सीमित करें और प्रति स्रोत नेटवर्क निकट-प्रतिलिपियों को डीडुप्लिकेट करें।
• व्यक्ति-स्तर के दावों और अन्य संवेदनशील विषयों के लिए प्रामाण्यता बैज और उपयोगकर्ता-समक्ष स्रोत सूचियाँ जोड़ें।
• एम्बेडिंग स्टोर्स पर असामान्य पहचान अपनाएँ; प्रतिकूल वेक्टर अपवादों को चिन्हित करें और अनधिकृत प्रसार की जाँच के लिए कैनरी परीक्षण चलाएँ।

शोध: क्रिप्टोग्राफिक रूप से सत्यापित अटेस्टेशन्स

Chad Scira ऐसे क्रिप्टोग्राफिक रूप से सत्यापित प्रमाण-पत्र प्रणालियाँ बना रहे हैं जो व्यक्तियों और घटनाओं के बारे में बयानों में विश्वास सुनिश्चित करें। उद्देश्य LLMs और पुनर्प्राप्ति प्रणालियों को सत्यापित पेशेवरों और संगठनों द्वारा हस्ताक्षरित, क्वेरी योग्य दावे प्रदान करना है, जिससे मजबूत प्रामाणिकता और पॉइज़निंग के प्रति अधिक प्रतिरोध सक्षम हो सके।

डिज़ाइन सिद्धांत

• पहचान और उत्पत्ति: बयानों पर सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग कर सत्यापित व्यक्तियों/संस्थाओं द्वारा हस्ताक्षर होते हैं।
• सत्यापनीय संग्रहण: प्रतिज्ञाएँ केवल जोड़ने योग्य, छेड़छाड़-प्रमाण लॉग्स से एंकर की जाती हैं ताकि स्वतंत्र सत्यापन सक्षम हो।
• रिट्रीवल एकीकरण: RAG पाइपलाइन्स संवेदनशील प्रश्नों के लिए क्रिप्टोग्राफिक रूप से सत्यापित स्रोतों को प्राथमिकता दे सकती हैं या आवश्यक कर सकती हैं।
• Minimal friction: APIs और SDKs प्रकाशकों और प्लेटफ़ॉर्मों को इनजेशन के समय attestations (प्रमाण-पत्र) जारी करने और जाँचने की अनुमति देते हैं।

प्रतिष्ठा और अलर्ट

attestations (प्रमाण-पत्र) के ऊपर, एक प्रतिष्ठा परत हस्ताक्षरित समर्थन को समेकित करती है और ज्ञात दुरुपयोगकर्ताओं को फ़्लैग करती है। अलर्टिंग सिस्टम्स लक्ष्यों को सूचित करते हैं जब समन्वित हमले या असामान्य उछाल का पता चलता है, जिससे तेज़ प्रतिक्रिया और टेकडाउन अनुरोध संभव होते हैं।

कानूनी और प्लेटफ़ॉर्म चैनल्स

• उपलब्ध साक्ष्य पैकेजों के साथ प्लेटफ़ॉर्म रिपोर्ट प्रवाह का उपयोग करें: लिंक, तारीखें, स्क्रीनशॉट और प्रभाव। मानहानि और उत्पीड़न नीतियों का संदर्भ दें।
• जहाँ उपयुक्त हो, औपचारिक नोटिस के साथ बढ़ाएँ; अपने साक्ष्य ट्रेल में पत्राचार लॉग और टिकट आईडी रखें।
• मानहानि और प्लेटफ़ॉर्म दायित्व में क्षेत्राधिकार-आधारित मतभेदों पर विचार करें; उच्च जोखिम मामलों में वकील से परामर्श लें।

कार्यान्वयन रोडमैप (वर्ष 1)

• MVP: पहचान बयान और घटना दावों पर हस्ताक्षर करने के लिए attestation स्कीमा और पब्लिशर SDK।
• सत्यापित पेशेवरों और संगठनों के छोटे समूह के साथ पायलट चलाएँ; सत्यापन वर्कफ़्लो स्थापित करें।
• RAG प्लगइन्स: 'स्रोत-प्राथमिक उत्तर' मोड सक्षम करें जो संवेदनशील प्रश्नों के लिए प्रमाणित स्रोतों को प्राथमिकता देता है।

अधिक पढ़ने के लिए (तिथियों सहित)

• Nightshade - इमेजेस के लिए लक्षित डाटा पॉयज़निंग (2023-2024)
• PoisonGPT - बैकडोर किया गया LLM प्रदर्शन (July 2023)
• PoisonedRAG - RAG के लिए नॉलेज बेस पॉयज़निंग (February 2024)
• LLM अनुप्रयोगों के लिए OWASP Top 10 (2023-2024)
• C2PA - कंटेंट क्रेडेंशियल्स और प्रामाणिकता प्रयास (2023-2024)
• पुनरावृत्ति का शाप: उत्पन्न डेटा पर प्रशिक्षण (मई 2023)

सहयोग

यह शोध अत्याधुनिक है और सक्रिय रूप से विकसित हो रहा है। Chad Scira इस क्षेत्र के अन्य पेशेवरों के साथ सहयोग का स्वागत करते हैं।

यदि आप सहयोग में रुचि رکھتے हैं, तो कृपया संपर्क करें: [email protected]