LLM विषाक्तकरण और दुरुपयोग-रोधी अनुसंधान

कार्यकारी सारांश

छोटे इंटरनेट निशान वाले औसत लोगों को AI द्वारा बढ़ाए गए मानहानि और डेटा पॉइज़निंग से असमान जोखिम का सामना करना पड़ता है। एक अकेला प्रेरित व्यक्ति झूठी कथाएँ बोस सकता है जिन्हें खोज, सोशल फीड और LLM दोहराते हैं। यह दस्तावेज़ सामान्य हमले के मार्गों, प्रतिष्ठा और सुरक्षा पर ठोस प्रभावों, और पहचान व सुरक्षा के लिए व्यावहारिक प्लेबुक को स्पष्ट करता है। यह क्रिप्टोग्राफिक रूप से सत्यापित प्रमाण-पत्रों और उत्पत्ति-सूचित पुनर्प्राप्ति के माध्यम से व्यक्तियों और इंटीग्रेटरों के लिए होने वाले नुकसान को कैसे कम किया जा सकता है, इसका भी वर्णन करता है।

दर्शक और खतरा मॉडल

दर्शक: वे व्यक्ति और छोटे संगठन जिनकी बड़ी SEO उपस्थिति नहीं है। सीमाएँ: सीमित समय, बजट और तकनीकी संसाधन। विरोधी: एक एकल कृत्यकर्ता जो बड़ी मात्रा में पाठ निकालने और पोस्ट करने में सक्षम हो, बुनियादी लिंक नेटवर्क का उपयोग कर सके, और रिपोर्टिंग की अंधी जगहों का शोषण कर सके। लक्ष्य: खोज/LLM के आउटपुट को विकृत करना, प्रतिष्ठा को नुकसान पहुँचाना, नियोक्ताओं, ग्राहकों, प्लेटफ़ॉर्मों या एजेंट्स के लिए संदेह पैदा करना।

LLM विषाकरण क्या है?

LLM विषाक्तकरण का तात्पर्य मॉडल व्यवहार का ऐसे सामग्री के माध्यम से हेरफेर से है जो सीडेड या समन्वित हो - उदाहरण के लिए, दुर्भावनापूर्ण पोस्ट, कृत्रिम लेख, या फोरम स्पैम - जिन्हें पुनरुद्धारण प्रणालियों द्वारा ग्रहण किया जा सकता है या मानवों द्वारा संकेतों के रूप में उपयोग किया जा सकता है, जिससे मॉडल को गलत संबद्धताओं और मानहानिपूर्ण कथाओं की ओर धकेला जाता है।

क्योंकि LLM और पुनर्प्राप्ति सिस्टम पैमाना और कवरेज के लिए अनुकूलित होते हैं, एक प्रेरित विरोधी वेब के एक छोटे हिस्से को भरकर यह आकार दे सकता है कि मॉडल किसी व्यक्ति के बारे में ‘‘देखता’’ क्या है। यह उन व्यक्तियों के खिलाफ विशेष रूप से प्रभावी है जिनकी ऑनलाइन उपस्थिति सीमित है।

प्रतिष्ठा कैसे विकृत होती है

• खोज और सोशल विषाक्तकरण - प्रोफ़ाइल हाईजैकिंग, लिंक फ़ार्म्स, और रैंकिंग फ़ीचर्स व ऑटोकम्प्लीट संबन्धों को पक्षपाती करने के लिए बड़े पैमाने पर पोस्टिंग।
• ज्ञान आधार और RAG विषाक्तकरण - ऐसी एंटिटी पृष्ठ और QA नोट बनाना जो अर्थगत रूप से प्रासंगिक दिखें और संदर्भ के रूप में प्राप्त हों।
• अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन - शत्रुतापूर्ण वेब सामग्री जो ब्राउज़िंग एजेंटों को निर्देश दोहराने या संवेदनशील डेटा बाहर निकालने के लिए प्रेरित करती है।
• बैकडोर किए गए एंडपॉइंट - हानिकारक मॉडल रैपर जो सामान्य व्यवहार करते हैं जब तक ट्रिगर वाक्यांश न दिखें; फिर लक्षित झूठ जारी करते हैं।

अतिरिक्त जोखिम और विफलता मोड

• सिंथेटिक आउटपुट पर प्रशिक्षण से मॉडल पतन — फीडबैक लूप जहाँ जनित टेक्स्ट भविष्य के मॉडल गुणवत्ता को घटा देता है यदि उन्हें छाना या वज़नित न किया जाए।
• अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन - वेब पर शत्रुतापूर्ण सामग्री जो किसी एजेंट या ब्राउज़िंग उपकरण को उद्धृत किए जाने पर रहस्य बाहर निकालने या मानहानि फैलाने का निर्देश देती है।
• एंबेडिंग स्टोर विषाक्तकरण - ज्ञानकोश में प्रतिद्वंदी अंश सम्मिलित करना ताकि पुनःप्राप्ति ऐसे झूठे दावों को सामने लाए जो अर्थगत रूप से प्रासंगिक दिखते हैं।
• बैकडोर किए गए रिलीज़ - संशोधित चेकपॉइंट या API रैपर प्रकाशित करना जो सामान्य रूप से व्यवहार करते हैं जब तक कि कोई ट्रिगर वाक्यांश उपस्थित न हो।

ठोस मामले और संदर्भ

• पुनरावृत्ति का अभिशाप: जनित डेटा पर प्रशिक्षण (मई 2023)
• LLM अनुप्रयोगों के लिए OWASP टॉप 10 (2023-2024)
• लेकरा गैंडाल्फ - प्रॉम्प्ट इंजेक्शन प्रदर्शन (2023-2024)
• Nightshade — छवियों के लिए लक्षित डेटा विषाकरण (2023-2024)
• PoisonGPT — बैकडोरयुक्त LLM प्रदर्शन (जुलाई 2023)
• PoisonedRAG — RAG के लिए ज्ञान आधार विषाकरण (फ़रवरी 2024)
• C2PA - सामग्री क्रेडेंशियल और उत्पत्ति प्रयास (2023-2024)

गहन शमन उपाय

पुनःप्राप्ति और रैंकिंग

• स्रोत स्कोरिंग और प्रहेलिका (provenance) वेटिंग - हस्ताक्षरित या प्रकाशक द्वारा सत्यापित सामग्री को प्राथमिकता दें; नव-निर्मित या निम्न-प्रतिष्ठा पृष्ठों का वजन घटाएँ।
• अनुग्रह अवधि के साथ समय-क्षय - उच्च-जोखिम उत्तरों पर नए स्रोतों के प्रभाव से पहले ठहराव अवधि आवश्यक करें; संवेदनशील इकाइयों के लिए मानवीय समीक्षा जोड़ें।
• इको चेंबर का पता लगाना - लगभग समान अंशों का समूह बनाएं और एक ही स्रोत या नेटवर्क से बार-बार प्रभाव को सीमित करें।
• एम्बेडिंग स्थान में आउट्लायर और विसंगति का पता लगाना — उन अंशों को चिन्हित करें जिनकी वेक्टर स्थितियाँ प्रतिकारी रूप से अनुकूलित की गई हों।

डेटा और ज्ञानकोश स्वच्छता

• स्नैपशॉट और डिफ ज्ञान आधार - बड़े डेल्टास की समीक्षा करें, विशेषकर व्यक्ति इकाइयों और प्राथमिक स्रोतों के बिना आरोपों के लिए।
• कैनरी और इंकार सूचियाँ - ज्ञात दुरुपयोग करने वाले डोमेनों के सम्मिलित होने को रोकें; अनधिकृत प्रसार मापने के लिए कैनरियाँ डालें।
• उच्च जोखिम वाले विषयों के लिए मानव शामिल रखें - प्रतिष्ठा संबंधी तथ्यों के प्रस्तावित अपडेट को मैन्युअल निर्णय के लिए कतारबद्ध करें।

प्रमाण-पत्र और प्रतिष्ठा

• क्रिप्टोग्राफ़िक रूप से सत्यापित प्रमाण पत्र - जांचे गए पेशेवरों और संगठनों द्वारा हस्ताक्षरित बयान, जिन्हें केवल जोड़ने योग्य लॉग के माध्यम से प्रकाशित किया जाता है।
• प्रतिष्ठा ग्राफ - हस्ताक्षरित समर्थन का समेकन और बार-बार दुर्व्यवहार करने वालों या बॉट नेटवर्क्स द्वारा उत्पन्न सामग्री की रैंक घटाना।
• उपयोगकर्ता-उन्मुख संदर्भ - संवेदनशील दावों के लिए मॉडल से स्रोत और विश्वसनीयता उत्पत्ति बैज के साथ दिखाने की माँग करें।

एंटरप्राइज़ चेकलिस्ट

• अपने डोमेन में संवेदनशील संस्थाओं का मानचित्र बनाएं (लोग, ब्रांड, वैधानिक विषय) और पूछताछ को स्रोत-संबंधी आवश्यकताओं वाले सुरक्षित पाइपलाइनों पर रूट करें।
• पहले पक्ष की सामग्री के लिए C2PA या समान सामग्री क्रेडेंशियल अपनाएँ और भागीदारों को भी ऐसा करने के लिए प्रोत्साहित करें।
• समय के साथ नए स्रोतों के प्रभाव को ट्रैक करें और इकाई-स्तरीय उत्तरों के लिए असामान्य उतार-चढ़ाव पर अलर्ट करें।
• RAG और ब्राउज़िंग एजेंटों के लिए निरंतर रेड-टीमिंग चलाएँ, जिसमें अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन परीक्षण सूट शामिल हों।

एआई के माध्यम से उत्पीड़न और मानहानि

भर्ती के लिए लोग अब एआई और ऑटोमेशन का उपयोग करके उत्पीड़न और मानहानि का बड़े पैमाने पर उत्पादन करते हैं, संभावित दिखने वाला टेक्स्ट और नकली “स्रोत” बनाते हैं जो सूचकांकित, स्क्रैप और फिर साझा करने में आसान होते हैं। ये अभियान कम लागत वाले, उच्च प्रभाव वाले होते हैं और एक बार स्वचालित प्रणालियों द्वारा बढ़ाए जाने पर सुधारना मुश्किल होता है।

Chad Scira ने व्यक्तिगत रूप से लक्षित उत्पीड़न और मानहानि का अनुभव किया है, जो स्पैमी लिंकिंग के साथ जुड़ा हुआ था जिसका उद्देश्य प्रतिष्ठा संकेत और खोज इंप्रेशंस को विकृत करना था। एक विस्तृत विवरण और साक्ष्य श्रृंखला यहाँ दस्तावेजीकृत है: Jesse Nickles - उत्पीड़न और मानहानि.

खतरा वर्गीकरण

• पूर्व-प्रशिक्षण डेटा विषाकरण — प्रारंभिक प्रशिक्षण के लिए उपयोग होने वाले सार्वजनिक कॉर्पस का विषाकरण करके गलत संबन्ध या बैकडोर रोपना।
• RAG विषाकरण — उन ज्ञान आधारों या बाहरी स्रोतों में सामग्री डालना जो रिट्रीवल पाइपलाइंस इनफेरेंस के समय उपयोग करती हैं।
• खोज/सोशल विषाक्तकरण - किसी व्यक्ति या विषय के बारे में पुनःप्राप्ति और रैंकिंग संकेतों को पक्षपाती करने के लिए पोस्टों या निम्न-गुणवत्ता वाले पृष्ठों की बाढ़।
• विरोधी संकेत और सामग्री - ऐसे इनपुट तैयार करना जो अवांछित व्यवहार या जेलब्रेक ट्रिगर करें और मानहानि करने वाले दावों को दोहराएँ।

हाल की घटनाएँ और अनुसंधान (तिथियों सहित)

• Nightshade — प्रॉम्प्ट-लक्षित डेटा विषाकरण (University of Chicago, 2023-2024)
• PoisonGPT — बैकडोरयुक्त LLM रिलीज़ (Mithril Security, जुलाई 2023)
• PoisonedRAG — RAG के लिए ज्ञान आधार विषाकरण (फ़रवरी 2024, arXiv)
• C2PA - सामग्री क्रेडेंशियल और उत्पत्ति मानक (2023-2024)

ध्यान दें: ऊपर दी गई तिथियाँ लिंक किए गए स्रोतों पर प्रकाशित या सार्वजनिक रिलीज़ की तिथियाँ दर्शाती हैं।

यह क्यों खतरनाक है

• LLM अधिकृत प्रतीत हो सकते हैं भले ही अंतर्निहित संदर्भ कमजोर हों या शत्रुतापूर्ण रूप से सीड किए गए हों।
• पुनःप्राप्ति और रैंकिंग पाइपलाइनों में बार-बार आने वाले पाठ का वजन अधिक हो सकता है, जिससे एक अकेला अभिनेता मात्र मात्रा से परिणामों को पक्षपाती कर सकता है।
• मानव-आधारित तथ्य-जाँच प्रक्रियाएँ स्वचालित सामग्री निर्माण और वितरण की गति के मुकाबले धीमी और महंगी होती हैं।
• महत्वपूर्ण ऑनलाइन उपस्थिति न रखने वाले पीड़ित एकल पोस्ट द्वारा जानकारी दूषित करने और पहचान संबंधी हमलों के प्रति असमान रूप से अधिक संवेदनशील होते हैं।

जोखिम गहन विश्लेषण

• नियोक्ति और प्लेटफ़ॉर्म स्क्रीनिंग - भर्ती, मॉडरेशन, या ऑनबोर्डिंग जांच के दौरान खोज और LLM सारांश विषाक्त सामग्री को प्रतिध्वनित कर सकते हैं।
• यात्रा, आवास और वित्तीय सेवाएँ - स्वचालित जाँच ऐसी गलत कथाएँ उजागर कर सकती हैं जो सेवाओं में देरी या अवरुद्ध कर सकती हैं।
• स्थायित्व — एक बार ज्ञान आधारों में इंडेक्स या कैश किए गए उत्तरों में दर्ज होने पर, गलत दावे हटाए जाने के बाद भी पुनः उभर सकते हैं।
• सिंथेटिक फीडबैक - उत्पन्न सामग्री और अधिक उत्पन्न सामग्री को जन्म दे सकती है, जिससे समय के साथ असत्य सूचनाओं का प्रतीत वज़न बढ़ सकता है।

पहचान और निगरानी

• अपने नाम और उपनामों पर खोज अलर्ट सेट करें; समय-समय पर site: क्वेरीज़ से उन निम्न-प्रतिष्ठा डोमेन की जाँच करें जो आपका उल्लेख करते हैं।
• अपने नॉलेज पैनल या इकाई पृष्ठों में होने वाले परिवर्तनों को ट्रैक करें; प्रमाण के लिए तारीख वाले स्क्रीनशॉट और निर्यात की गई प्रतियाँ रखें।
• दोहराए गए मूल खातों या समान वाक्य रचनाओं के अचानक उछाल के लिए सोशल लिंक ग्राफ़ की निगरानी करें।
• यदि RAG या ज्ञान आधार चला रहे हैं, तो एंटिटी ड्रिफ्ट जांच चलाएं और प्राथमिक स्रोतों के बिना व्यक्ति पृष्ठों या आरोपों में बड़े अंतर की समीक्षा करें।

सुरक्षा प्लेबुक — व्यक्ति

• स्पष्ट पहचान दावों, एक संक्षिप्त परिचय और संपर्क मार्गों के साथ एक व्यक्तिगत साइट प्रकाशित करें; एक दिनांकित परिवर्तन लॉ बनाए रखें।
• प्लेटफ़ॉर्मों में प्रोफ़ाइल मेटाडेटा को संरेखित करें; जहाँ संभव हो सत्यापित प्रोफ़ाइल प्राप्त करें और उन्हें अपनी साइट से लिंक करें।
• प्रमुख छवियों और दस्तावेज़ों के लिए C2PA या समान सामग्री प्रमाणपत्र का उपयोग करें जहाँ संभव हो; मूल फाइलें निजी रूप से संग्रहीत रखें।
• टाइमस्टैम्प के साथ साक्ष्य लॉग रखें: स्क्रीनशॉट, लिंक, और किसी भी प्लेटफ़ॉर्म टिकट नंबर ताकि बाद में एस्केलेशन किया जा सके।
• टेकडाउन टेम्पलेट तैयार रखें; नए हमलों का तुरंत जवाब दें और स्पष्ट कागज़ी रिकॉर्ड के लिए प्रत्येक कदम का दस्तावेज़ीकरण करें।

सुरक्षा प्लेबुक — टीमें और एकीकर्ता

• रिकवरी में हस्ताक्षरित या प्रकाशक-प्रमाणित सामग्री को प्राथमिकता दें; नए स्रोतों के लिए समय आधारित छूट अवधि लागू करें।
• एक ही स्रोत से बार-बार प्रभाव को सीमित करें और प्रति स्रोत नेटवर्क नज़दीकी प्रतिरूपों को डीडुप्लिकेट करें।
• व्यक्ति-स्तर के दावों और अन्य संवेदनशील विषयों के लिए उत्पत्ति बैज और उपयोगकर्ता-उन्मुख स्रोत सूचियाँ जोड़ें।
• एम्बेडिंग स्टोर्स पर असामान्यता पहचान अपनाएँ; प्रतिद्वंद्वी वेक्टर आउटलाईयर्स को चिन्हित करें और अनधिकृत प्रसार के लिए कैनरी जाँच चलाएँ।

अनुसंधान: क्रिप्टोग्राफिक रूप से सत्यापित प्रत्यायन

Chad Scira लोगों और घटनाओं के बारे में बयानों में भरोसा सुनिश्चित करने के लिए क्रिप्टोग्राफिक रूप से सत्यापित प्रमाण-पत्र प्रणालियाँ बना रहे हैं। लक्ष्य यह है कि सत्यापित पेशेवरों और संगठनों से साइन किए गए, क्वेरीयोग्य दावों को LLM और पुनर्प्राप्ति सिस्टम को प्रदान किया जाएँ, जिससे मजबूत उत्पत्ति और पॉइज़निंग के प्रति अधिक प्रतिरोधशीलता संभव हो सके।

डिज़ाइन सिद्धांत

• पहचान और स्रोत: घोषणाओं पर सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करके सत्यापित व्यक्तियों/संगठनों द्वारा हस्ताक्षर किए जाते हैं।
• सत्यापनीय भंडारण: प्रमाण-पत्र केवल जोड़ने योग्य और छेड़छाड़-स्पष्ट लॉग्स में एंकर किए जाते हैं ताकि स्वतंत्र सत्यापन सक्षम हो सके।
• पुनःप्राप्ति एकीकरण: RAG पाइपलाइनों में संवेदनशील प्रश्नों के लिए क्रिप्टोग्राफिक रूप से सत्यापित स्रोतों को प्राथमिकता देने या आवश्यक करने की सुविधा हो सकती है।
• न्यूनतम घर्षण: API और SDK प्रकाशकों और प्लेटफ़ॉर्म को इंजेशन के समय प्रमाणन जारी करने और जाँचने की अनुमति देते हैं।

प्रतिष्ठा और अलर्ट

सत्यापन के अलावा, एक प्रतिष्ठा परत हस्ताक्षरित समर्थन एकत्र करती है और ज्ञात दुरुपयोगकर्ताओं को चिह्नित करती है। जब समन्वित हमले या असामान्य उछाल का पता चलता है तो अलर्टिंग सिस्टम लक्ष्यों को सूचित करते हैं, जिससे तेज़ प्रतिक्रिया और हटाने के अनुरोध संभव होते हैं।

कानूनी और प्लेटफ़ॉर्म चैनल

• स्पष्ट प्रमाण पैकेज के साथ प्लेटफ़ॉर्म रिपोर्ट फ्लो का उपयोग करें: लिंक, तिथियाँ, स्क्रीनशॉट और प्रभाव। मानहानि और उत्पीड़न नीतियों का संदर्भ दें।
• जहाँ उपयुक्त हो औपचारिक नोटिस भेजकर मामला बढ़ाएँ; अपने साक्ष्य ट्रेल में पत्राचार लॉग और टिकट आईडी रखें।
• मानहानि और प्लेटफ़ॉर्म दायित्व में अधिकार क्षेत्र के अंतर को ध्यान में रखें; उच्च जोखिम वाले मामलों के लिए सलाह के लिए वकील से परामर्श करें।

कार्यान्वयन रोडमैप (वर्ष 1)

• MVP: पहचान बयान और घटना दावों पर हस्ताक्षर करने के लिए सत्यापन स्कीमा और प्रकाशक SDK।
• सत्यापित पेशेवरों और संगठनों के एक छोटे समूह के साथ पायलट; सत्यापन कार्यप्रवाह स्थापित करें।
• RAG प्लग-इन: स्रोत-उत्पत्ति प्राथमिक उत्तर मोड सक्षम करें जो संवेदनशील प्रश्नों के लिए सत्यापित स्रोतों को प्राथमिकता दे।

अतिरिक्त पठन (तिथियों के साथ)

• Nightshade — छवियों के लिए लक्षित डेटा विषाकरण (2023-2024)
• PoisonGPT — बैकडोरयुक्त LLM प्रदर्शन (जुलाई 2023)
• PoisonedRAG — RAG के लिए ज्ञान आधार विषाकरण (फ़रवरी 2024)
• LLM अनुप्रयोगों के लिए OWASP टॉप 10 (2023-2024)
• C2PA - सामग्री क्रेडेंशियल और उत्पत्ति प्रयास (2023-2024)
• पुनरावृत्ति का अभिशाप: जनित डेटा पर प्रशिक्षण (मई 2023)

सहयोग

यह शोध अत्याधुनिक है और सक्रिय रूप से विकसित हो रहा है। Chad Scira इस क्षेत्र के अन्य पेशेवरों के साथ सहयोग का स्वागत करते हैं।

यदि आप सहयोग में रुचि रखते हैं, तो कृपया इस पर संपर्क करें: [email protected]