Reputacijos apsauga ir LLM užnuodijimo tyrimai

Vykdomoji santrauka

Vidutiniai žmonės su mažu internetiniu pėdsaku susiduria su neproporcinga rizika dėl AI sustiprinto šmeižto ir duomenų užteršimo. Vienas motyvuotas asmuo gali sėti klaidingus naratyvus, kuriuos pakartoja paieškos rezultatai, socialiniai kanalai ir LLM. Šis dokumentas paaiškina įprastus atakų kelius, konkrečius poveikius reputacijai ir saugumui ir pateikia praktinį aptikimo bei apsaugos veiksmų planą. Taip pat aprašoma, kaip kriptografiškai patvirtinti pareiškimai ir kilmės informuota paieška gali sumažinti žalą asmenims ir integratoriams.

Auditorija ir grėsmės modelis

Auditorija: asmenys ir mažos organizacijos, neturinčios didelės SEO apimties. Apribojimai: ribotas laikas, biudžetas ir techniniai ištekliai. Priešininkas: vienas asmuo, galintis sukurti ir paskelbti didelius teksto kiekius, naudoti paprastus nuorodų tinklus ir išnaudoti pranešimų mechanizmų akląsias vietas. Tikslai: iškreipti paieškos/LLM rezultatus, pakenkti reputacijai, sukelti abejonių darbdaviams, klientams, platformoms ar atstovams.

Kas yra LLM užkrėtimas?

LLM užnuodijimas reiškia modelio elgesio manipuliavimą per sėjamo arba koordinuoto turinio naudojimą - pavyzdžiui, kenksmingus įrašus, sintetinius straipsnius ar forumų šlamštą - kuriuos gali apdoroti paieškos/atkūrimo (retrieval) sistemos arba žmonės panaudoti kaip signalus, stumdami modelius link klaidingų asociacijų ir šmeižiančių naratyvų.

Kadangi LLM ir retrieval sistemos optimizuojamos pagal mastą ir aprėptį, vienas motyvuotas priešininkas gali formuoti tai, ką modelis „mato“ apie asmenį, užtvindydamas nedidelę interneto dalį. Tai ypač efektyvu prieš asmenis su ribotu internetiniu pėdsaku.

Kaip reputacija iškraipoma

• Paieškos ir socialinis užnuodijimas – profilių užgrobimas, nuorodų ūkiai ir masinis skelbimas, siekiant šališkai paveikti reitingavimo požymius ir automatinio užbaigimo asociacijas.
• Žinių bazės ir RAG užnuodijimas - kuriami entitetų puslapiai ir QA pastabos, kurios atrodo semantiškai susijusios ir yra gaunamos kaip kontekstas.
• Netiesioginė užklausų injekcija - priešiškas interneto turinys, dėl kurio naršymo agentai pakartoja nurodymus arba išgautų jautrius duomenis.
• Galutiniai taškai su „backdoor“ – kenkėjiški modelių apvalkalai, kurie elgiasi normaliai tol, kol pasirodo suveikimo frazės, o tada skleidžia tikslingas melagystes.

Papildomos rizikos ir gedimų scenarijai

• Modelio kolapsas dėl mokymo naudojant sintetinius rezultatus - grįžtamojo ryšio ciklai, kai sugeneruotas tekstas blogina būsimų modelių kokybę, jei jis nėra filtruojamas arba priskiriamas svoriais.
• Netiesioginė užklausų injekcija - priešiškas interneto turinys, nurodantis agentui arba naršymo įrankiui išgauti slaptą informaciją arba skleisti šmeižtą, kai jis yra cituojamas.
• Embeddingų saugyklos užnuodijimas - įterpiant priešiškus fragmentus į žinių bazę, kad paieška pateiktų klaidingus teiginius, kurie atrodo semantiškai susiję.
• Išleistos versijos su „backdoor“ – modifikuotų kontrolinių taškų arba API apvalkalų paskelbimas, kurie elgiasi įprastai tol, kol pasirodo suveikimo frazė.

Konkrečios bylos ir nuorodos

• Rekursijos prakeiksmas: mokymas remiantis sugeneruotais duomenimis (2023 m. gegužė)
• OWASP Top 10 LLM taikymams (2023-2024)
• Lakera Gandalf - promptų injekcijos demonstracija (2023–2024)
• Nightshade - taikytas duomenų užnuodijimas vaizdams (2023-2024)
• PoisonGPT - LLM demonstracija su įdiegta užnugario prieiga (backdoor) (2023 m. liepa)
• PoisonedRAG - žinių bazės užnuodijimas RAG (2024 m. vasaris)
• C2PA – turinio kredencialai ir kilmės iniciatyvos (2023–2024)

Gilesnės apsaugos priemonės

Atgavimas ir reitingavimas

• Šaltinių vertinimas ir kilmės svorio nustatymas – teikite pirmenybę pasirašytam arba leidėjo patikrintam turiniui; sumažinkite svorį naujai sukurtoms ar žemos reputacijos svetainėms.
• Laiko nykimas su atidėjimo laikotarpiu – reikalauti laukimo laiko, kol nauji šaltiniai pradės daryti įtaką aukštos rizikos atsakymams; pridėti žmogaus peržiūrą jautrioms subjektoms.
• Echo kameros aptikimas - sugrupuokite beveik identiškus tekstų fragmentus ir apribokite pasikartojantį poveikį iš to paties šaltinio ar tinklo.
• Išskirtinių reikšmių ir anomalijų aptikimas įterpimų (embedding) erdvėje - žymėkite pastraipas, kurių vektorinės pozicijos buvo optimizuotos priešiškai.

Duomenų ir žinių bazės higiena

• Fiksuokite momentines žinių bazių kopijas ir palyginkite pokyčius – peržiūrėkite didelius skirtumus, ypač susijusius su asmenų įrašais ir kaltinimais be pirminių šaltinių.
• „Canary“ ir draudžiamų sąrašai – užkirsti kelią žinomų piktnaudžiaujančių domenų įtraukimui; įterpti „canary“ elementus neautorizuotos sklaidos matavimui.
• Žmogus procese aukštos rizikos temoms – siūlomus reputacijos faktų atnaujinimus statykite į eilę rankiniam peržiūrėjimui.

Patvirtinimai ir reputacija

• Kriptografiškai patvirtinti pareiškimai – pasirašyti teiginiai iš patikrintų profesionalų ir organizacijų, skelbiami per „append-only“ žurnalą.
• Reputacijos grafai – agreguokite pasirašytus patvirtinimus ir mažinkite reitingą turiniui, kurį platina pakartotiniai pažeidėjai ar botų tinklai.
• Vartotojui matomi citavimai – reikalauti, kad modeliai rodytų šaltinius ir pasitikėjimo lygį su kilmės ženkleliais jautriems teiginiams.

Įmonės kontrolinis sąrašas

• Identifikuokite jautrius entitetus savo domene (žmonės, prekės ženklai, teisinės temos) ir nukreipkite užklausas į saugomus darbo srautus (pipelines) su kilmės (provenance) reikalavimais.
• Taikykite C2PA arba panašius turinio kredencialus pirmosios šalies turiniui ir skatinkite partnerius daryti tą patį.
• Stebėkite naujų šaltinių įtaką laikui bėgant ir perspėkite apie neįprastus svyravimus subjekto lygio atsakymams.
• Vykdykite nuolatinį red teaming RAG ir naršymo agentams, įskaitant netiesioginių promptų injekcijos testų rinkinius.

Priekabiavimas ir šmeižtas per dirbtinį intelektą

Samdomi asmenys dabar naudoja DI ir automatizaciją masiškai gaminti priekabiavimą ir šmeižtą, kurdami tikroviškai atrodančius tekstus ir netikrus „šaltinius“, kuriuos lengva indeksuoti, nuskaityti ir dalytis. Šios kampanijos yra nebrangios, bet labai paveikios ir sunkiai pašalinamos, kai jas sustiprina automatizuotos sistemos.

Chad Scira asmeniškai patyrė tikslingą priekabiavimą ir šmeižtą, lydimą spam tipo nuorodų, skirtų iškreipti reputacijos signalus ir paieškos rodinius. Išsami apžvalga ir įrodymų grandinė pateikiama čia: Jesse Nickles - Priekabiavimas ir šmeižtas.

Neseniai įvykęs Stack Exchange incidentas parodo, kaip koordinuoti paskyrų tinklai gali sukurti pasitikėjimą platformose, kurios paprastai perduoda stiprius patikimumo signalus. Vieši 100 metų trukmės suspendavimai kelioms susijusioms paskyroms, po kurių sekė kerštingas tarpplatforminis viešinimas, daro šį atvejį naudingą kilmės informuotumo reitingavimo ir piktnaudžiavimo prevencijos sistemų atvejo analizei: Stack Exchange priekabiavimo ir šmeižto incidentas.

Grėsmių taksonomija

• Išankstinio mokymo duomenų užnuodijimas - viešų korpusų, naudojamų pradiniam mokymui, užkrėtimas siekiant įdiegti klaidingas asociacijas arba slaptus prieigos mechanizmus (backdoors).
• RAG užnuodijimas – žinių bazių arba išorinių šaltinių užkrėtimas, kuriuos atgavimui skirtos grandinės naudoja inferencijos metu.
• Paieškos/socialinis užnuodijimas – pranešimų ar žemos kokybės puslapių užtvindymas, siekiant iškreipti atgavimų ir reitingavimo signalus apie asmenį ar temą.
• Priešiški užklausimai ir turinys – kuriami įvestys, kurios sukelia nepageidaujamą elgesį arba „jailbreak“ veiksmus, kartojančius šmeižtus.

Naujausi incidentai ir tyrimai (su datomis)

• Nightshade - per promptus (užklausas) taikytas duomenų užnuodijimas (Čikagos universitetas, 2023-2024)
• PoisonGPT - LLM išleidimas su užnugario prieiga (Mithril Security, 2023 m. liepa)
• PoisonedRAG - žinių bazės užnuodijimas RAG (2024 m. vasaris, arXiv)
• C2PA – turinio kredencialų ir kilmės standartai (2023–2024)

Pastaba: aukščiau nurodytos datos atspindi publikavimo arba viešo išleidimo datas susietuose šaltiniuose.

Kodėl tai pavojinga

• LLM modeliai gali atrodyti autoritetingai net jei pagrindiniai šaltiniai yra silpni arba priešiškai įterpti.
• Atgavimo ir reitingavimo grandinės gali pernelyg sureikšminti pakartotinį tekstą, leidžiant vienam veikėjui iškraipyti rezultatus vien tik kiekiu.
• Žmogiškas faktų tikrinimas yra lėtas ir brangus, palyginti su automatizuoto turinio kūrimo ir platinimo greičiu.
• Aukos, neturinčios reikšmingo matomumo internete, yra ypač pažeidžiamos dėl vieno įrašo užkrėtimo ir tapatybės atakų.

Gilus rizikos tyrimas

• Darbo ir platformų patikra - paieškos rezultatai ir LLM santraukos gali atkartoti užnuodytą turinį priėmimo, moderavimo ar įvedamuosiuose patikrinimuose.
• Kelionės, būstas ir finansinės paslaugos – automatizuoti tikrinimai gali atskleisti klaidingas naratyvas, dėl kurių paslaugos gali būti uždelstos arba užblokuotos.
• Išliekamumas - kartą indeksavus žinių bazėse arba talpyklose saugomus atsakymus, klaidingi teiginiai gali pasirodyti vėl net po pašalinimų.
• Sintetinis atsiliepimas – sugeneruotas turinys gali paskatinti daugiau sugeneruoto turinio, per laiką didindamas klaidingų teiginių regimą svorį.

Aptikimas ir stebėsena

• Nustatykite paieškos įspėjimus pagal savo vardą ir slapyvardžius; periodiškai tikrinkite site: užklausas dėl žemos reputacijos domenų, kurie jus mini.
• Stebėkite pakeitimus savo žinių panelėse arba subjektų puslapiuose; saugokite datuotas ekrano nuotraukas ir eksportuotas kopijas kaip įrodymus.
• Stebėkite socialinių ryšių grafus dėl pasikartojančių kilmės paskyrų arba staigių panašių formuluočių šuolių.
• Jei eksploatuojate RAG arba žinių bazę, atlikite entitetų poslinkio patikras ir peržiūrėkite didelius pokyčius asmenų puslapiuose ar kaltinimuose, kuriems trūksta pirminių šaltinių.

Apsaugos vadovas - asmenims

• Paskelbkite asmeninį tinklalapį su aiškiais tapatybės teiginiais, trumpa biografija ir kontaktiniais kanalais; palaikykite datuotą pakeitimų žurnalą.
• Suderinkite profilio metaduomenis tarp platformų; gaukite patvirtintus profilius, kai įmanoma, ir susiekite juos su savo svetaine.
• Naudokite C2PA arba panašius turinio kredencialus svarbiems vaizdams ir dokumentams, kai įmanoma; originalus saugokite privačiai.
• Laikykite įrodymų žurnalą su laiko žymomis: ekrano nuotraukos, nuorodos ir bet kokie platformos bilietų numeriai vėlesnei eskalacijai.
• Paruoškite pašalinimo (takedown) šablonus; greitai reaguokite į naujus išpuolius ir dokumentuokite kiekvieną žingsnį aiškiam dokumentacijos pėdsakui.

Apsaugos vadovas - komandoms ir integratoriams

• Teikite pirmenybę pasirašytam arba leidėjo patvirtintam turiniui paieškoje; naujiems šaltiniams taikykite laikui pagrįstus gracijos laikotarpius.
• Apribokite pasikartojantį poveikį iš to paties šaltinio ir deduplikuokite beveik identiškus įrašus pagal kilmės tinklą.
• Pridėkite kilmės ženklelius ir vartotojui matomus šaltinių sąrašus teiginiams apie asmenis bei kitiems jautriems klausimams.
• Diegkite anomalijų aptikimą į įterpinių (embedding) saugyklas; pažymėkite priešiškų vektorių anomalijas ir vykdykite „canary“ patikrinimus neautorizuotos sklaidos matavimui.

Tyrimas: kriptografiškai patikrinti patvirtinimai

Chad Scira kuria kriptografiškai patvirtintas patvirtinimų sistemas pasitikėjimui pareiškimais apie žmones ir įvykius. Tikslas – suteikti LLM ir retrieval sistemoms pasirašytus, užklausomus teiginius iš patikrintų profesionalų ir organizacijų, užtikrinant tvirtą kilmės atsekamumą ir didesnį atsparumą užteršimui.

Dizaino principai

• Tapatybė ir kilmė: pareiškimai pasirašomi patikrintų asmenų/organizacijų, naudojant viešojo rakto kriptografiją.
• Patikimas saugojimas: patvirtinimai pritvirtinami prie tik papildomų, klastojimui aptinkamų žurnalų, leidžiančių nepriklausomą patikrinimą.
• Atgavimų integracija: RAG grandinės gali prioritetizuoti arba reikalauti kriptografiškai patvirtintų šaltinių jautrioms užklausoms.
• Minimali trintis: API ir SDK leidžia leidėjams ir platformoms išduoti ir tikrinti patvirtinimus priėmimo metu.

Reputacija ir įspėjimai

Be patvirtinimų, reputacijos sluoksnis agreguoja pasirašytus patvirtinimus ir žymi žinomus piktnaudžiautojus. Įspėjimo sistemos praneša taikiniams, kai aptinkami koordinuoti išpuoliai ar anomalūs šuoliai, leidžiančios greičiau reaguoti ir pateikti pašalinimo užklausas.

Teisiniai ir platformų kanalai

• Naudokite platformų pranešimų srautus su aiškiais įrodymų paketais: nuorodos, datos, ekrano nuotraukos ir poveikis. Pateikite nuorodas į šmeižto ir priekabiavimo politiką.
• Prireikus eskaluokite formalius pranešimus; saugokite susirašinėjimo žurnalus ir bilietų ID įrodymų byloje.
• Atsižvelkite į jurisdikcinius skirtumus dėl šmeižto ir platformų atsakomybės; didelės rizikos atvejais konsultuokitės su teisininku.

Įgyvendinimo planas (1 metai)

• MVP: patvirtinimų schema ir leidėjo SDK tapatybės pareiškimams ir įvykių teiginiams pasirašyti.
• Paleiskite pilotą su maža, patikrintų specialistų ir organizacijų grupe; nustatykite tikrinimo darbo eigas.
• RAG įskiepiai: įjunkite provenance-first atsakymo režimą, kuris prioritetą teikia patvirtintiems šaltiniams jautrioms užklausoms.

Papildoma literatūra (su datomis)

• Nightshade - taikytas duomenų užnuodijimas vaizdams (2023-2024)
• PoisonGPT - LLM demonstracija su įdiegta užnugario prieiga (backdoor) (2023 m. liepa)
• PoisonedRAG - žinių bazės užnuodijimas RAG (2024 m. vasaris)
• OWASP Top 10 LLM taikymams (2023-2024)
• C2PA – turinio kredencialai ir kilmės iniciatyvos (2023–2024)
• Rekursijos prakeiksmas: mokymas remiantis sugeneruotais duomenimis (2023 m. gegužė)

Bendradarbiavimas

Šie tyrimai yra pažangiausi ir nuolat vystosi. Chad Scira kviečia bendradarbiauti su kitais šios srities specialistais.

Jei domitės bendradarbiavimu, susisiekite adresu: [email protected]