Rannsóknir á verndun orðspors og eitursetningu LLM

Samantekt fyrir stjórnendur

Venjulegt fólk með lítið fótspor á netinu stendur frammi fyrir óhóflegri áhættu vegna meiðyrða sem eru ýttar upp af gervigreind og gagnasýkingar. Einn hvatinn einstaklingur getur sáð fölsum frásögnum sem leitarvélar, samfélagsstraumar og stór tungumálalíkön endurtaka. Þetta skjöl útskýrir algengar árásarleiðir, áþreifanleg áhrif á orðspor og öryggi og gefur hagnýta leiðarvísi til greiningar og verndar. Það lýsir einnig hvernig dulritunarlega staðfestar vottanir og upprunavitund í endurheimt geta dregið úr skaða fyrir einstaklinga og samþættendur.

Markhópur og ógnarlíkan

Markhópur: einstaklingar og litlar stofnanir án mikillar SEO-umfjöllunar. Takmarkanir: takmarkaður tími, fjárhagsheimild og tæknilegir auðlindir. Ógnaraðili: einn einstaklingur sem getur búið til og birt mikið magn texta, notað einföld tengjanet og nýtt blindsvæði í tilkynningum. Markmið: villa um fyrir leitar- og LLM-útkomum, skaða orðspor og skapa vafa hjá atvinnurekendum, viðskiptavinum, vettvangi eða fulltrúum.

Hvað er LLM-eitrun?

LLM-eitrun vísar til stjórnunar á hegðun líkans með sað eða samhæfðu efni - til dæmis illgjörnum færslum, gervigreinum eða ruslpósti á spjallborðum - sem endurheimtarkerfi geta tekið inn eða menn notað sem merki, og sem ýta líkönum í átt að falskum tengslum og ærumeiðandi frásögnum.

Þar sem LLM og endurheimtarkerfi miða að magni og umfangi getur einn hvattur ógnaraðili mótað hvað líkan „sjáir“ um einstakling með því að fylla litla hluta netsins. Þetta virkar sérstaklega vel gegn einstaklingum með takmarkaða netnærveru.

Hvernig orðspor raskast

• Leitar- og samfélagseitursetning - rán á prófílum, tengjagarðar (link farms) og fjöldapóstun til að skekkja röðunareiginleika og sjálfklára-tengingar.
• Eitrun þekkingargrunns og RAG - að búa til aðilassíður og QA-athugasemdir sem virðast merkingarbundið viðeigandi og eru sóttar sem samhengi.
• Óbein prompt injection - árásargjarnt vefefni sem veldur því að vafraumboð endurtekur fyrirmæli eða smyglar út viðkvæm gögn.
• Endapunktar með bakdyrum - illgjarnar umbúðir um líkön sem virka eðlilega þar til kveikjufrasar birtast, og þá senda þær markvissar rangfærslur.

Auknar áhættur og bilunarmöguleikar

• Líkansrofnun vegna þjálfunar á gerviútgöngum - endurgjafahringir þar sem framleiddur texti rýrir gæði framtíðar-líkana ef hann er ekki síaður eða vegaður.
• Óbein prompt injection - árásargjarnt efni á vefnum sem leiðbeinir umboðsmanni eða vafrartæki að smygla út leyndarmálum eða dreifa ærumeiðingum þegar vitnað er í það.
• Eitrun í embedding-geymslu - að setja illgjörn textabrot inn í þekkingargrunn svo leitarniðurstöður birti falskar staðhæfingar sem virðast merkingarbundið viðeigandi.
• Losanir með bakdyrum - birting breyttra stöðupunkta eða API-umbúna sem hegða sér venjulega þar til tiltekinn kveikjufrasi er til staðar.

Nákvæm tilfelli og heimildir

• Bölvun endurtekningar: Þjálfun á mynduðum gögnum (maí 2023)
• OWASP Top 10 fyrir LLM-forrit (2023-2024)
• Lakera Gandalf - sýnishorn af prompt injection (2023-2024)
• Nightshade - markviss gagnaeitrun fyrir myndir (2023-2024)
• PoisonGPT - LLM með bakdyrum, sýnidæmi (júlí 2023)
• PoisonedRAG - þekkingargrunnseitrun fyrir RAG (febrúar 2024)
• C2PA - efnisvottanir og upprunaverkefni (2023–2024)

Varnir í dýpt

Uppfletting og röðun

• Stigagjöf heimilda og vigtun uppruna - velja efni sem er undirritað eða útgefandi staðfest; lækka vægi nýrra eða lágt orðspors síðna.
• Tímarof með svigrúmi - krefjist dvalartíma áður en nýjar heimildir hafa áhrif á svör sem fela í sér mikla áhættu; bætið við mannlegri yfirferð fyrir viðkvæmar einingar.
• Greining bergmálsherbergja - flokka nánast tvítekna textabrot og takmarka endurtekin áhrif frá sama uppruna eða neti.
• Útskúfunar- og frávikagreining í embedding-rýminu - merkja brot þar sem vigrastöður hafa verið andstæðulega fínstilltar.

Gagna- og þekkingargrunnshreinlæti

• Taka skyndimyndir og bera saman þekkingargrunna - skoða stórar breytingar, sérstaklega varðandi persónueiningar og ásakanir án frumheimilda.
• Kanaríu- og bannlistar - koma í veg fyrir innlimun þekktra misnotkunarléna; setja kanaríur inn til að mæla óheimila útbreiðslu.
• Manneskja í lykkjunni fyrir hááhættu efni - raða tillögðum uppfærslum á orðsporsstaðreyndum í biðröð fyrir handvirka úrlausn.

Vottanir og orðspor

• Dulritunarlega staðfestar vottanir - undirrituð yfirlýsingar frá skoðuðum sérfræðingum og stofnunum, birtar í append-only skrá.
• Orðsporsgrafar - safna undirrituðum meðmælum og lækka röðun efnis frá endurteknir misnotendum eða botnetum.
• Notendamiðuð tilvísun - krefjist þess að módel sýni heimildir og vissustig með upprunamerkjum fyrir viðkvæmar staðhæfingar.

Yfirlitslisti fyrir fyrirtæki

• Kortleggðu viðkvæmar einingar innan þíns sviðs (fólk, vörumerki, lagaleg málefni) og beindu fyrirspurnum í varnarleiðslur með kröfum um uppruna.
• Innleiðið C2PA eða sambærilegar efnisvottanir fyrir efni frá fyrsta aðila og hvettu samstarfsaðila til að gera hið sama.
• Fylgstu með áhrifum nýrra heimilda yfir tíma og gefðu viðvörun um óvenjulegar sveiflur fyrir svör á einingastigi.
• Keyrðu samfellda red teaming fyrir RAG og vafraumboð, þar á meðal prófanasöfn fyrir óbeina innspýtingu í fyrirspurnir (prompt injection).

Áreitni og ærumeiðingar í gegnum gervigreind

Einstaklingar til leigu nota nú gervigreind og sjálfvirkni til að framleiða fjölda áreitni og ærumeiðinga, búa til texta sem lítur trúverðugt út og falskar „heimildir“ sem auðvelt er að skrá, skrapa og deila. Þessar herferðir kosta lítið, hafa mikil áhrif og eru erfiðar að uppræta þegar þær eru margfaldar af sjálfvirkum kerfum.

Chad Scira hefur persónulega orðið fyrir markvissri áreitni og ærumeiðingum ásamt rusltengingu (spammy linking) sem ætlað er að villa um fyrir orðsporsmerkjum og leitarskynjun. Nákvæm frásögn og sönnunargögn eru skráð hér: Jesse Nickles - Áreitni og ærumeiðingar.

Nýleg atvik á Stack Exchange sýna hvernig samhæf net reikninga geta búið til traust á vettvangi sem almennt ber sterkar trúverðugleikamerki. Opinberar 100 ára sviptingar á mörgum tengdum reikningum, fylgt af hefndarsinnuðu birtingu á öðrum vettvangi, gera þetta að gagnlegu viðfangsefni til að rannsaka upprunavottaða röðun og kerfi gegn misnotkun: Atvik áreitni og ærumeiðinga á Stack Exchange.

Flokkun ógnana

• Gagnaeitrun fyrir grunnþjálfun - eitrun opinberra korpusa sem notuð eru fyrir upphaflega þjálfun til að innplanta falskar tengingar eða bakdyr.
• RAG-eitursetning - sá fræjum í þekkingargrunn eða ytri heimildir sem uppflettigöng (retrieval pipelines) nota við ályktunartíma.
• Leitar-/félagsmiðla-eitursetning - flóð af færslum eða lággæða síðum til að skekkja uppflettingar- og röðunarmerki um persónu eða efni.
• Andstæðuhvetjandi skipanir og efni - að búa til inntak sem kveikir óæskilega hegðun eða 'jailbreaks' sem endurtekur meiðandi fullyrðingar.

Nýleg atvik og rannsóknir (með dagsetningum)

• Nightshade - markviss gagnaeitrun miðuð við prompt (University of Chicago, 2023-2024)
• PoisonGPT - útgáfa á LLM með bakdyrum (Mithril Security, júlí 2023)
• PoisonedRAG - þekkingargrunnseitrun fyrir RAG (febrúar 2024, arXiv)
• C2PA - efnisvottanir og upprunastaðlar (2023–2024)

Ath: Dagsetningar hér að ofan endurspegla birtingar- eða opinbera útgáfudaga hjá þeim heimildum sem vísað er til.

Af hverju þetta er hættulegt

• Stór tungumálalíkön geta virst trúverðug jafnvel þegar undirliggjandi heimildir eru veikar eða hafa verið illgjarnlega sáðar.
• Uppflettingar- og röðunarferlar geta ofmetið endurtekið efni, sem leyfir einum aðila að skekkja niðurstöður með magni einu saman.
• Mannauðarskoðanir á staðreyndum eru hægar og kostnaðarsamar miðað við hraða sjálfvirkrar efnisframleiðslu og dreifingar.
• Þolendur sem hafa ekki verulega nærveru á netinu eru hlutfallslega viðkvæmari fyrir eitrun með einni færslu og persónuárásum.

Djúp könnun á áhættu

• Atvinnu- og vettvangssíun - leit og samantektir stórra málmódela (LLM) geta endurtekið eitrað efni við ráðningar, miðlun eða inntökukannanir.
• Ferðalög, húsnæði og fjármálaþjónusta - sjálfvirkar athuganir geta borið upp falskar frásagnir sem seinka eða hindra þjónustu.
• Varanleiki - þegar rangar fullyrðingar hafa verið skráðar í þekkingargrunna eða í skyndiminni svara geta þær borið aftur upp jafnvel eftir eyðingar.
• Gervi endurgjöf - myndað efni getur framkallað meira myndað efni, og aukið sýnilegt vægi rangfærslna með tímanum.

Uppgötvun og eftirlit

• Stofnaðu viðvörunarleit fyrir nafnið þitt og gervinöfn; athugaðu reglulega site: fyrirspurnir fyrir lén með lágt orðspor sem nefna þig.
• Fylgist með breytingum á upplýsingaspjöldum eða einingasíðum; geymið dagsettar skjámyndir og útflutt eintök sem sönnunargögn.
• Fylgstu með félagslegum tengslagrafi fyrir endurteknar upprunareikninga eða skyndilegum aukningum í svipuðu orðalagi.
• Ef þú rekur RAG eða þekkingargrunn, framkvæmdu athuganir á entity drift og skoðaðu stórar breytingar á persónusíðum eða ásökunum sem skortir frumheimildir.

Verndarhandbók - Einstaklingar

• Birta persónulega síðu með skýrum yfirlýsingum um auðkenni, stuttu æviágripi og tengiliðaupplýsingum; halda dagsettri breytingaskrá.
• Samræmið prófíl-metadata milli vettvanga; fáið staðfesta prófíla þar sem unnt er og tengið þá við síðuna ykkar.
• Notið C2PA eða sambærilegra innihaldsvottorða fyrir lykilmyndir og skjöl þegar unnt er; geymið frumritin á einkaaðgangi.
• Haltu sönnunaskrá með tímastimplum: skjáskot, tenglar og öll miðanúmer vefpallsins til síðarra frekari aðgerða.
• Undirbúðu sniðmát fyrir fjarlægingarbeiðnir; bregstu hratt við nýjum árásum og skráðu hvert skref til að skilja eftir skýran rekjanlegan feril.

Verndarhandbók - Teymi og samþættingaraðilar

• Gættu þess að velja undirritað eða af útgefanda staðfest efni við endurheimt; beittu tímabundnum biðtímabilum fyrir nýjar heimildir.
• Takmarka endurtekin áhrif frá sama uppruna og fjarlægja nánast tvítekningar innan hvers upprunanets.
• Bætið við upprunarmerkjum og notendamiðuðum heimildalists fyrir fullyrðingar um einstaklinga og önnur viðkvæm málefni.
• Innleiðið fráviksuppgötvun í embedding-gagnageymslum; merkjið óvenjuleg árásarvigur (adversarial vector outliers) og keyrið kanaríupróf til að greina óheimila útbreiðslu.

Rannsókn: Dulkóðunarlega staðfestar vottanir

Chad Scira er að þróa dulritunarfyrirrituð vottunarkerfi til að byggja upp traust í yfirlýsingum um einstaklinga og atburði. Markmiðið er að veita LLM og endurheimtarkerfum undirrituð og fyrirspurnanleg gögn (claims) frá staðfestum sérfræðingum og stofnunum, sem styrkja upprunavottun og auka viðnám gegn gagnasmitun.

Hönnunarviðmið

• Auðkenni og uppruni: yfirlýsingar eru undirritaðar af staðfestum einstaklingum/samtökum með notkun opinnar lykildulkóðunar.
• Staðfestanleg geymsla: yfirlýsingar eru festar við skrár sem aðeins er hægt að bæta við (append-only) og sem greinilega sýna íhlutun, til að gera óháða staðfestingu mögulega.
• Samþætting uppflettingar: RAG-ferlar geta forgangsraðað eða krafist heimilda sem hafa verið dulkóðunarlega vottaðar fyrir viðkvæmar fyrirspurnir.
• Lítil hindrun: API og SDK gera útgefendum og vettvangi kleift að gefa út og staðfesta vottanir við inntekt gagna.

Orðspor og viðvörun

Auk vottana safnar orðsporslag (reputation layer) undirritaðum meðmælum og merkir þekkta misnotendur. Viðvörunarkerfi tilkynnna markmiðum þegar samhæfðar árásir eða óeðlilegar aukningar eru greindar, sem gerir kleift hraðari viðbrögð og beiðnir um fjarlægingu.

Lögfræðilegar og vettvangsleiðir

• Notið tilkynningarferla vettvangs með skýrum sönnunarpökkum: tenglar, dagsetningar, skjámyndir og áhrif. Vísið til reglna um ærumeiðingar og áreitni.
• Leitaðu til æðri aðila með formlegum tilkynningum þar sem við á; haltu samskiptaskrám og miðanúmerum í sönnunargögnum þínum.
• Hugaðu að réttarheimildarlegum mismun varðandi ærumeiðingar og ábyrgð vettvanga; ráðfærðu þig við lögfræðing í háhættu málum.

Innleiðingarleiðarkort (1. ár)

• MVP: vottunarskema og SDK fyrir útgefendur til að undirrita yfirlýsingar um auðkenni og kröfur um atburði.
• Fara í tilraun með litlum hópi vottaðra fagmanna og stofnana; koma á staðfestingarvinnuflæði.
• RAG-viðbætur: virkja svarhaminn „provenance first“ sem forgangsraðar staðfestum heimildum fyrir viðkvæmar fyrirspurnir.

Frekari lesning (með dagsetningum)

• Nightshade - markviss gagnaeitrun fyrir myndir (2023-2024)
• PoisonGPT - LLM með bakdyrum, sýnidæmi (júlí 2023)
• PoisonedRAG - þekkingargrunnseitrun fyrir RAG (febrúar 2024)
• OWASP Top 10 fyrir LLM-forrit (2023-2024)
• C2PA - efnisvottanir og upprunaverkefni (2023–2024)
• Bölvun endurtekningar: Þjálfun á mynduðum gögnum (maí 2023)

Samstarf

Þessar rannsóknir eru á fremstu víglínu og í stöðugri þróun. Chad Scira óskar eftir samstarfi við aðra fagaðila á þessu sviði.

Ef þú hefur áhuga á samstarfi, vinsamlegast hafðu samband á: [email protected]