Հանրային հեղինակության պաշտպանության և LLM թունավորման հետազոտություններ

Կարճ ամփոփագիր

Միջին, փոքր առցանց հետևքի ունեցող մարդիկ կանգնում են անհամաչափ ռիսկի՝ AI-ով ուժեղացված զրպարտության և տվյալների թունավորման պատճառով։ Միակ մոտիվացված անհատը կարող է սերմանել կեղծ պատմություններ, որոնք կրկնվում են որոնման արդյունքներում, սոցիալական հոսքերում և LLM-ներում։ Այս փաստաթուղթը բացատրում է ընդհանուր հարձակման ուղիները, հեղինակության և անվտանգության վրա առկա կոնկրետ հետևանքները և հայտնաբերման ու պաշտպանության պրակտիկ ուղեցույցը։ Այն նաև ներկայացնում է, թե ինչպես կրիպտոգրաֆորեն վավերացված վկայագրումները և ծագման տեղեկությանը զգայուն վերականգնումը կարող են նվազեցնել վնասը անհատների և ինտեգրողների համար։

Լսարանն ու սպառնալիքների մոդելը

Լսարան՝ անհատներ և փոքր կազմակերպություններ՝ առանց մեծ SEO ներկայության։ Սահմանափակումներ՝ սահմանափակ ժամանակ, բյուջե և տեխնիկական ռեսուրսներ։ Հակառակորդ՝ մի առանձին գործող անձ, որը կարող է ստեղծել և հրապարակել մեծ ծավալի տեքստեր, օգտագործել պարզ հղումների ցանցեր և շահարկել զեկուցման խոցակետերը։ Նպատակներ՝ խեղաթյուրել որոնման/LLM-ների արդյունքները, վնասել հեղինակությանը, ստեղծել կասկածներ գործատուների, հաճախորդների, հարթակների կամ ներկայացուցիչների մոտ։

Ի՞նչ է LLM-ի թունավորումը?

LLM-ի թունավորումը վերաբերում է մոդելի վարքագծի կառավարմանը սերմնավորված կամ համակարգված բովանդակության միջոցով — օրինակ՝ վնասակար հրապարակումներ, սինթետիկ հոդվածներ կամ ֆորումային սպամ — որոնք կարող են ներծծվել վերականգնման համակարգերով կամ մարդկանց կողմից օգտագործվել որպես ազդանշաններ, մոդելներին դրդելով դեպի կեղծ ասոցիաներ և վիրավորող նյարդեր։

Քանի որ LLM-ները և վերականգնման համակարգերը օպտիմիզացվում են մասշտաբի և ընդգրկման համար, միակ մոտիվացված հակառակորդը կարող է ձևավորել այն, ինչ մոդելը «տեսնում» է անձի մասին՝ ողողելով ինտերնետի փոքր հատվածը։ Սա հատկապես արդյունավետ է անձանց նկատմամբ, որոնց առցանց ներկայությունը սահմանափակ է։

Ինչպես է խեղաթյուրվում համբավը

• Որոնման և սոցիալական թունավորում — պրոֆիլների հափշտակություն, հղումների ֆերմաներ և զանգվածային հրապարակումներ՝ վարկանշման հատկություններին և ավտոմատ լրացման ասոցյացիաներին կողմն Orientierung տալու համար։
• Գիտելիքների բազայի և RAG թունավորում - ստեղծել սուբյեկտների էջեր և QA նշումներ, որոնք թվում են սեմանտիկապես համապատասխան և վերադարձվում են որպես համատեքստ.
• Ապակուղղակի prompt injection - վեբի թշնամական բովանդակությունը, որը ստիպում է զննող գործակալներին կրկնել հրահանգները կամ արտահանել զգայուն տվյալներ.
• Backdoor-ով վարակված վերջնակետներ — վնասակար մոդելային փաթաթումներ (wrappers), որոնք նորմալ են գործում մինչեւ հայտնվեն գործարկիչ արտահայտությունները, ապա արձակում են նպատակային կեղծ տեղեկություններ։

Լրացուցիչ ռիսկեր և ձախողման ռեժիմներ

• Մոդելի փլուզում՝ սինթետիկ արտադրանքների վրա ուսուցումից առաջացած՝ հետադարձ կապի շղթաներ, երբ ստեղծված տեքստը ստորացնում է ապագա մոդելի որակը, եթե այն չի զտվում կամ նրան չի տրամադրվում համապատասխան քաշ։
• Ապակուղղակի prompt injection - վեբի թշնամական բովանդակություն, որը հրահանգում է գործակալին կամ զննման գործիքին արտահանել գաղտնիքներ կամ տարածել զրպարտություններ մեջբերվելիս.
• Էմբեդինգի պահեստի թունավորում - հակառակորդ հատվածներ տեղադրել գիտելիքների բազայում, որպեսզի վերադարձվեն կեղծ պնդումներ, որոնք սեմանտիկապես համապատասխանում են:
• Backdoor-ով վարակված թողարկումներ — փոփոխված checkpoint-ներ կամ API փաթեթներ հրապարակելը, որոնք նորմալ են գործում մինչև հայտնվի գործարկիչ արտահայտությունը։

Կոնկրետ դեպքեր և հղումներ

• Ռեկուրսիայի նզովքը: գեներացված տվյալներով ուսուցում (Մայիս 2023)
• OWASP-ի Top 10՝ LLM հավելվածների համար (2023-2024)
• Lakera Gandalf - prompt injection ցուցադրություն (2023-2024)
• Nightshade - նպատակային տվյալների թունավորում պատկերների համար (2023-2024)
• PoisonGPT - բեքդորավորված LLM-ի ցուցադրում (Հուլիս 2023)
• PoisonedRAG - գիտելիքների բազայի թունավորում RAG-ի համար (Փետրվար 2024)
• C2PA - բովանդակության վկայագրեր և ծագման նախաձեռնություններ (2023-2024)

Խորքային հակազդեցություններ

Վերականգնում և դասակարգում

• Աղբյուրների գնահատում և սկզբնաղբյուրի կշռում — նախընտրեք ստորագրված կամ հրատարակչության կողմից վավերացված բովանդակությունը; իջեցրեք նոր ստեղծված կամ ցածր հեղինակություն ունեցող էջերի նշանակությունը։
• Ժամանակային նահանջ՝ զիջման (grace) ժամկետով - պահանջել մնացության ժամանակ՝ մինչև նոր աղբյուրները ազդեցություն ունենան բարձր ռիսկային պատասխանների վրա; զգայուն սուբյեկտների համար ավելացրեք մարդու կողմից կատարվող վերանայում։
• Էխո սենյակի հայտնաբերում - խմբավորել մոտ-կրկնվող հատվածները և սահմանափակել նույն աղբյուրի կամ ցանցի կրկնվող ազդեցությունը.
• Արտառոցների և անոմալիաների հայտնաբերում՝ embeddings տարածքում — նշեք այն հատվածները, որոնց վեկտորային դիրքերը հակառակորդաբար օպտիմիզացված են։

Տվյալների և KB-ի հիգիենա

• Գրառումների և տարբերությունների լուսանկարելն ու համեմատությունը գիտելիքների բազաների համար — վերանայեք մեծ տարբերությունները, հատկապես անձին առնչվող էակների և առանց հիմնական աղբյուրների հիմնավորված մեղադրանքների դեպքում։
• Canary և արգելելու ցուցակներ — կանխարգելել հայտնի չարաշահման տիրույթների ներմուծումը; տեղադրել canary-ներ՝ անթույլատրված տարածումն չափելու համար։
• Մարդը շղթայում բարձր ռիսկի թեմաների համար - առաջարկվող փոփոխությունները համբավային փաստերի համար դնել հերթում՝ ձեռքով քննության համար.

Վկայություններ և հեղինակություն

• Կրիպտոգրաֆորեն վավերացված վկայագրումներ — ստուգված մասնագետների և կազմակերպությունների ստորագրված հայտարարություններ, որոնք հրապարակվում են append-only մատյանով։
• Հանրային հեղինակության գրաֆներ — կուտակեք ստորագրված հավանություններ և իջեցրեք վարկանիշը կրկնակի չարաշահողների կամ բոտ ցանցերի բովանդակության համար։
• Օգտվողի համար տեսանելի հղումներ՝ պահանջեք մոդելներից ցուցադրել աղբյուրները և վստահության աստիճանը՝ զգայուն պնդումների համար ծագման պիտակներով։

Ընկերության ստուգաթերթ

• Քարտեզագրեք ձեր ոլորտի զգայուն սուբյեկտները (անձինք, բրենդներ, իրավական թեմաներ) և ուղղեք հարցումները պաշտպանված փաթեթների (pipelines)՝ որտեղ պահանջվում է ծագման ապացույց։
• Ընդունել C2PA կամ նման բովանդակային վկայագրեր առաջին կողմի բովանդակության համար և խրախուսել գործընկերներին նույնը անել։
• Վերլուծեք նոր աղբյուրների ազդեցությունը ժամանակի ընթացքում և ազդարարեք անսովոր տատանումների մասին՝ սուբյեկտի մակարդակի պատասխանների համար։
• Կատարեք շարունակական red-teaming RAG և զննող գործակալների համար՝ ներառյալ անուղղակի prompt-injection թեստային հավաքածուները։

ԱԻ միջոցով կատարվող հետապնդում և զրպարտություն

Վարձույթ համար ներգրավված անձինք այժմ օգտվում են ԱԻ-ից և ավտոմատացումից, որպեսզի զանգվածաբար արտադրեն հալածանք և զրպարտություն, ստեղծելով հավանական տեսք ունեցող տեքստ և կեղծ «աղբյուրներ», որոնք հեշտ է ինդեքսավորել, քարգել և վերաաշխատել: այս արշավները ցածրարժեք են, բայց մեծ ազդեցություն ունեն և դժվար նկատելիորեն վերացվել երբ ավտոմատ համակարգերը դրանք ամպլիֆիկացնում են.

Chad Scira-ն անձամբ փորձել է նպատակային հալածանք և զրպարտություն՝ ուղեկցվող սպամային հղումներով, որոնք նպատակ ունեն խեղաթյուրել հեղինակության ցուցիչները և որոնման տպավորությունները։ Մանրամասն հաշվետվությունը և ապացույցների հետքագիծը վերևում նշված են այստեղ։ Jesse Nickles - Հետապնդում և զրպարտություն.

Վերջին Stack Exchange-ի դեպքը ցույց է տալիս, թե ինչպես համատեղ գործող հաշիվների ցանցերը կարող են «արտադրել» վստահություն այնպիսի հարթակներում, որոնք սովորաբար ունեն ուժեղ հեղինակավոր ցուցանիշներ։ Մի շարք կապված հաշիվների նկատմամբ հրապարակայնորեն 100 տարվա կասեցումներն՝ որոնց հաջորդում է փոխհատուցիչ բազմահարթակային հրապարակում, դարձնում են սա օգտակար դեպքազննություն՝ ծագման տեղեկությանը զգայուն վարկանշման և չարաշահման հակազդման համակարգերի համար։ Stack Exchange՝ հալածման և զրպարտության դեպք.

Սպառնալիքների տաքսոնոմիա

• Նախնական ուսուցիչների տվյալների թունավորում — հանրային կորպուսների թունավորում, որոնք օգտագործվում են նախնական ուսուցման համար՝ տեղավորելու կեղծ ասոցիաներ կամ բեքդորներ։
• RAG թունավորում — գիտելիքների բազաներ կամ արտաքին աղբյուրներ սերմանելը, որոնք վերականգնման խողովակաշարերը օգտագործում են ենթադրության (inference) պահին։
• Որոնման/սոցիալական թունավորում — հրապարակումների կամ ցածր որակի էջերի հեղեղում՝ որպեսզի կողմնորոշեն վերականգնման և դասակարգման ազդանշանները մեկ անձի կամ թեմայի վերաբերյալ։
• Հակառակորդային հրահանգներ և բովանդակություն — մուտքային տվյալներ, որոնք ակտիվացնում են ոչ ցանկալի վարք կամ jailbreak-ներ, որոնք կրկնօրինակեն զրպարտիչ պնդումները։

Վերջին դեպքեր և հետազոտություններ (ամսաթվերով)

• Nightshade - prompt-ների վրա կենտրոնացված տվյալների թունավորում (University of Chicago, 2023-2024)
• PoisonGPT - բեքդորավորված LLM-ի թողարկում (Mithril Security, Հուլիս 2023)
• PoisonedRAG - գիտելիքների բազայի թունավորում RAG-ի համար (Փետրվար 2024, arXiv)
• C2PA - բովանդակային վկայագրեր և ծագման ստանդարտներ (2023-2024)

Նշում․ վերը նշված ամսաթվերը արտացոլում են հրապարակման կամ հանրային թողարկման ամսաթվերը կապված աղբյուրներում։

Ինչու սա վտանգավոր է

• LLM-ները կարող են թվալ հեղինակավոր, նույնիսկ երբ ենթակայի հղումները թույլ են կամ հակառակորդաբար սերմնավորված։
• Վերականգնման և դասակարգման խողովակաշարերը կարող են գերադասել կրկնվող տեքստը, ինչը թույլ է տալիս մեկ գործող կողմին միայն քանակով թեքել արդյունքները։
• Մարդկային փաստերի ստուգման հետքերն դանդաղ և թանկ են համեմատած ավտոմատացված բովանդակության արտադրության և տարածման արագության հետ.
• Խնդիր չունեցող առցանց ներկայությամբ զոհերը անհամաչափ խոցելի են մեկ հրապարակման միջոցով իրականացվող թունավորումներին և ինքնության հարձակումների նկատմամբ։

Ռիսկի խորքային վերլուծություն

• Աշխատանքի և պլատֆորմային ստուգումներ - որոնումները և LLM-ների ամփոփումները կարող են արտացոլել թունավորված բովանդակությունը աշխատանքի ընդունման, մոդերացման կամ onboarding ստուգումների ժամանակ.
• Ճամփորդություն, բնակարանային և ֆինանսական ծառայություններ — ավտոմատ ստուգումները կարող են առաջ բերել կեղծ նարատիվներ, որոնք ուշացնում կամ արգելափակում են ծառայություններն։
• Կայունություն՝ մեկ անգամ ինդեքսավորվելով գիտելիքների բազաներում կամ кешеավորված պատասխաններում, կեղծ պնդումները կարող են կրկին surfaced լինել դեռևս հեռացումների փորձերից հետո։
• Սինթետիկ արձագանք — գեներացված բովանդակությունը կարող է խթանել ավելի շատ գեներացված բովանդակության ստեղծումը, ինչը ժամանակի ընթացքում մեծացնում է կեղծ տեղեկատվության ենթադրյալ կարևորությունը։

Հայտնաբերում և մշտադիտարկում

• Սահմանեք որոնման զգուշացումներ ձեր անունով և մականուններով/պսևդոնիմներով; շրջանաբար ստուգեք site: հարցումները՝ ցածր հեղինակություն ունեցող դոմեյնները, որոնք ձեզ հիշատակում են։
• Հետևեք ձեր գիտելիքի վահանակների կամ սուբյեկտային էջերի փոփոխություններին; պահպանեք ամսաթվագրված էկրանային լուսանկարներ և արտահանված պատճեններ որպես ապացույց։
• Դիտարկեք սոցիալական կապերի գրաֆները՝ կրկնվող ծագման հաշիվների կամ նման ձևակերպումների հանկարծակի աճերի համար։
• Եթե դուք շահագործում եք RAG կամ գիտելիքների բազա, կատարեք entity drift ստուգումներ և վերանայեք մեծ փոփոխությունները անձի էջերում կամ մեղադրանքներում՝ առանց առաջնային աղբյուրների.

Պաշտպանության ուղեցույց - անհատներ

• Հրապարակեք անձնական կայք՝ հստակ ինքնության հայտարարություններով, կարճ կենսագրությամբ և կապի միջոցներով; պահեք ամսաթվով փոփոխությունների օրագիր։
• Միաժամանակեցնել պրոֆիլի մետատվյալները տարբեր հարթակների միջով; ձեռք բերել վավերացված պրոֆիլներ, երբ հնարավոր է, և կապել դրանք ձեր կայքին։
• Օգտագործեք C2PA կամ նման պարունակության վկայագրեր հիմնական պատկերների և փաստաթղթերի համար երբ հնարավոր է; պահեք բնօրինակները անձնական պահոցում։
• Պահպանեք ապացույցների օրագիր՝ ժամային նշումներով՝ էկրանի լուսանկարներ, հղումներ և ցանկացած պլատֆորմի տոմսերի համարը հետագա էսկալացման համար.
• Պատրաստեք հեռացման տիպային ձևանմուշներ; արագ արձագանքեք նոր հարձակումներին և փաստագրեք յուրաքանչյուր քայլը՝ պարզ փաստաթղթային հետքի ապահովման համար։

Պաշտպանության ուղեցույց - թիմեր և ինտեգրատորներ

• Նախընտրեք վերականգնման ժամանակ ստորագրված կամ հրատարակչի կողմից հաստատված բովանդակությունը; նոր աղբյուրների համար կիրառեք ժամանակային ներիության (grace period) ժամկետներ։
• Սահմանափակել նույն աղբյուրի կամ ցանցի կողմից կրկնվող ազդեցությունը և դեդուպլիկացնել մոտակա կրկնօրինակները ըստ աղբյուրի ցանցի.
• Ավելացնել ծագման պիտակներ և օգտվողին տեսանելի աղբյուրների ցանկեր անձի մակարդակի պնդումների ու այլ զգայուն թեմաների համար։
• Ներդնել անոմալիաների հայտնաբերում էմբեդինգների պահոցներում; նշել հակառակորդային վեկտորների արտակարգ արժեքները և իրականացնել canary ստուգումներ չթույլատրված տարածման հայտնաբերման համար։

Հետազոտություն՝ կրիպտոգրաֆիկորեն ստուգված հաստատումներ

Chad Scira-ն正在 կառուցում կրիպտոգրաֆորեն վավերացվող վկայագրային համակարգեր՝ մարդկանց և իրադարձությունների վերաբերյալ հայտարարությունների նկատմամբ վստահություն ապահովելու համար։ Նպատակը LLM-ներին և վերականգնող համակարգերին սույն պաշտոնական, ստորագրված և հարցարկվող պնդումներ տրամադրելն է՝ ստուգված մասնագետներից և կազմակերպություններից, ինչը հնարավորություն է տալիս ամուր ծագման տեղեկություն և ավելի լավ դիմադրություն տվյալների թունավորմանը։

Նախագծման սկզբունքներ

• Իդենտություն և ծագում՝ հայտարարությունները ստորագրվում են ստուգված անհատների/կազմակերպությունների կողմից՝ օգտագործելով հանրային բանալիով կրիպտոգրաֆիա.
• Հաստատելի պահուստավորում՝ հաստատագրերը ամրագրված են միայն ավելացման համար նախատեսված, մանիպուլյացիաներ հայտնաբերող օրագրերին՝ անկախ ստուգման հնարավորություն տալու համար։
• Վերականգնման ինտեգրում։ RAG խողովակաշարերը կարող են առաջնահերթություն տալ կամ պահանջել կրիպտոգրաֆիկորեն հաստատված աղբյուրներ զգայուն հարցումների համար։
• Մինիմալ խոչընդոտ՝ API-ներն ու SDK-ները թույլ են տալիս հրատարակիչներին ու հարթակներին ապահովել և ստուգել հավաստագրումները ներմուծման պահին։

Հանրային հեղինակություն և զգուշացումներ

Հավաստագրումների վրա հիմնվելով՝ վարկանիշային շերտը համախմբում է ստորագրված աջակցությունները և նշում հայտնի չարաշահողներին։ Ծանուցման համակարգերը զգուշացնում են թիրախներին, երբ հայտնաբերվում են համակարգավորված հարձակումներ կամ անոմալական աճեր, ինչը թույլ է տալիս արագ արձագանք և հեռացման պահանջներ ներկայացնել։

Իրավական և պլատֆորմային ալիքներ

• Օգտագործեք պլատֆորմի զեկուցման ընթացակարգերը՝ հստակ ապացույցների փաթեթով՝ հղումներ, ամսաթվեր, էկրանային լուսանկարներ և հետևանքներ։ Հղում արեք զրպարտության և հալածման քաղաքականություններին։
• Եթե տեղին է, վերադարձրեք պաշտոնական ծանուցումներով; պահպանեք correspondences-ի լոգերը և տոմսերի ID-ները որպես ձեր ապացույցային ուղու մաս.
• Учтите իրավասությունների տարբերությունները զրպարտության և հարթակի պատասխանատվության հարցերում; բարձր ռիսկային դեպքերում խորհրդակցեք իրավաբանին։

Կիրառման ճանապարհային քարտեզ (1‑րդ տարի)

• MVP՝ հավաստագրման սխեմա և հրատարակչի SDK՝ ստորագրելու ինքնության հայտարարություններն ու իրադարձական պնդումները։
• Փիլոտ՝ փոքր, հավաստագրված մասնագետների և կազմակերպությունների խմբի հետ; հաստատեք վավերացման աշխատանքային հոսքերը։
• RAG հավելումներ։ միացրեք provenance-first պատասխանային ռեժիմը, որը զգայուն հարցումների դեպքում առաջնահերթություն է տալիս հաստատված աղբյուրներին։

Լրացուցիչ ընթերցում (թվերով)

• Nightshade - նպատակային տվյալների թունավորում պատկերների համար (2023-2024)
• PoisonGPT - բեքդորավորված LLM-ի ցուցադրում (Հուլիս 2023)
• PoisonedRAG - գիտելիքների բազայի թունավորում RAG-ի համար (Փետրվար 2024)
• OWASP-ի Top 10՝ LLM հավելվածների համար (2023-2024)
• C2PA - բովանդակության վկայագրեր և ծագման նախաձեռնություններ (2023-2024)
• Ռեկուրսիայի նզովքը: գեներացված տվյալներով ուսուցում (Մայիս 2023)

Համագործակցություն

Այս հետազոտությունը առաջատար է և ակտիվորեն զարգանում է։ Chad Scira ողջունում է համագործակցությունը այս ոլորտի այլ մասնագետների հետ։

Եթե հետաքրքրված եք համագործակցությամբ, խնդրում ենք դիմել՝ [email protected]