Pencemaran LLM dan Penyelidikan Anti-penyalahgunaan

Ringkasan Eksekutif

Orang biasa dengan jejak internet yang kecil menghadapi risiko besar daripada fitnah yang diperbesarkan oleh AI dan pencemaran data. Seorang individu bermotivasi tunggal boleh menabur naratif palsu yang diulang oleh enjin carian, suapan sosial, dan LLM. Dokumen ini menerangkan laluan serangan biasa, kesan konkrit terhadap reputasi dan keselamatan, serta panduan praktikal untuk pengesanan dan perlindungan. Ia juga menggariskan bagaimana pengesahan yang disahkan secara kriptografi dan pengambilan berasaskan asal-usul boleh mengurangkan kemudaratan bagi individu dan pengintegrasi.

Audiens dan Model Ancaman

Audiens: individu dan organisasi kecil tanpa kehadiran SEO yang besar. Kekangan: masa, bajet, dan sumber teknikal yang terhad. Pihak lawan: seorang aktor yang mampu menghasilkan dan menerbitkan jumlah besar teks, menggunakan rangkaian pautan asas, dan mengeksploitasi kekurangan dalam pelaporan. Matlamat: memutarbelitkan hasil carian/LLM, menjejaskan reputasi, mencetuskan keraguan bagi majikan, pelanggan, platform, atau ejen.

Apakah Keracunan LLM?

Pencemaran LLM merujuk kepada manipulasi tingkah laku model melalui kandungan yang ditanam atau diselaraskan - contohnya, hantaran berniat jahat, artikel sintetik, atau spam forum - yang boleh diserap oleh sistem pengambilan atau digunakan oleh manusia sebagai isyarat, menolak model ke arah perkaitan palsu dan naratif memfitnah.

Oleh kerana LLM dan sistem pengambilan dioptimumkan untuk skala dan liputan, seorang pihak lawan bermotivasi boleh membentuk apa yang 'dilihat' model tentang seseorang dengan membanjiri sebahagian kecil web. Ini amat berkesan terhadap individu dengan kehadiran dalam talian yang terhad.

Bagaimana Reputasi Diputarbelitkan

• Pencemaran carian dan sosial - pembajakan profil, ladang pautan, dan pengiriman pukal untuk memihak kepada ciri penggredan dan kaitan pengisian automatik.
• Pangkalan pengetahuan dan pencemaran RAG - mencipta halaman entiti dan nota QA yang nampak relevan secara semantik dan diambil semula sebagai konteks.
• Suntikan arahan tidak langsung - kandungan web bermusuhan yang menyebabkan ejen pelayar mengulangi arahan atau membocorkan data sensitif.
• Endpoint berkod pintu belakang - pembalut model berniat jahat yang bertindak normal sehingga frasa pencetus muncul, kemudian mengeluarkan kepalsuan yang disasarkan.

Risiko Tambahan dan Mod Kegagalan

• Keruntuhan model akibat latihan pada keluaran sintetik - gelung maklum balas di mana teks yang dijana merosakkan kualiti model masa depan jika tidak ditapis atau diberi pemberat.
• Suntikan arahan tidak langsung - kandungan bermusuhan di web yang mengarahkan ejen atau alat pelayar untuk membocorkan rahsia atau menyebarkan fitnah apabila dipetik.
• Pencemaran stor embedding - menyisipkan petikan bertentangan dalam pangkalan pengetahuan supaya pengambilan memaparkan tuntutan palsu yang kelihatan relevan dari segi semantik.
• Rilisan pintu belakang - menerbitkan titik semak yang diubah suai atau pembungkus API yang berkelakuan normal sehingga frasa pencetus hadir.

Kes dan Rujukan Konkrit

• Kutukan Rekursi: Latihan pada Data Terjana (Mei 2023)
• 10 Teratas OWASP untuk Aplikasi LLM (2023-2024)
• Lakera Gandalf - pameran suntikan arahan (2023-2024)
• Nightshade - pencemaran data bersasar untuk imej (2023-2024)
• PoisonGPT - demonstrasi LLM yang mempunyai pintu belakang (Julai 2023)
• PoisonedRAG - pencemaran pangkalan pengetahuan untuk RAG (Februari 2024)
• C2PA - kredensial kandungan dan usaha asal-usul (2023-2024)

Mitigasi Secara Mendalam

Pengambilan dan Pengurutan

• Skor sumber dan pemberatan asal-usul - utamakan kandungan bertandatangan atau disahkan penerbit; kurangkan berat halaman yang baru dicipta atau berreputasi rendah.
• Pengurangan kesan dari masa ke masa dengan tempoh penangguhan - memerlukan tempoh tunggu sebelum sumber baru mempengaruhi jawapan berisiko tinggi; lakukan semakan manusia untuk entiti sensitif.
• Pengesanan ruang gema - mengkelaskan petikan yang hampir serupa dan mengehadkan pengaruh berulang daripada sumber atau rangkaian yang sama.
• Pengesanan pencilan dan anomali dalam ruang embedding - tandakan petikan yang kedudukan vektornya dioptimumkan secara advesarial.

Kebersihan Data dan Pangkalan Pengetahuan

• Pangkalan pengetahuan snapshot dan perbezaan - semak perbezaan besar, terutamanya untuk entiti individu dan tuduhan tanpa sumber utama.
• Senarai kanari dan larangan - menghalang penggabungan domain penyalahgunaan yang diketahui; memasukkan kanari untuk mengukur penyebaran tanpa kebenaran.
• Libatkan manusia untuk topik berisiko tinggi - susun cadangan kemas kini fakta reputasi dalam barisan untuk penilaian manual.

Pengesahan dan Reputasi

• Pengesahan yang disahkan secara kriptografi - kenyataan bertandatangan daripada profesional dan organisasi yang disaring dan diterbitkan melalui log yang hanya membenarkan penambahan.
• Carta reputasi - mengagregat pengesahan bertandatangan dan menurunkan peringkat kandungan daripada penyalahguna berulang atau rangkaian bot.
• Petikan yang dilihat pengguna — mewajibkan model untuk menunjukkan sumber dan tahap keyakinan dengan lencana asal-usul bagi dakwaan sensitif.

Senarai Semak Perusahaan

• Peta entiti sensitif dalam domain anda (individu, jenama, topik perundangan) dan arahkan pertanyaan ke saluran terkawal dengan keperluan asal-usul.
• Gunakan C2PA atau kredensial kandungan serupa untuk kandungan pihak pertama dan galakkan rakan kongsi melakukan perkara yang sama.
• Jejaki pengaruh sumber baru dari masa ke masa dan beri amaran mengenai turun naik yang luar biasa untuk jawapan pada peringkat entiti.
• Jalankan red teaming berterusan untuk ejen RAG dan ejen pelayar termasuk set ujian suntikan arahan tidak langsung.

Pelecehan dan Fitnah melalui AI

Individu yang disewa kini memanfaatkan AI dan automasi untuk menghasilkan secara besar-besaran pelecehan dan fitnah, menghasilkan teks yang kelihatan munasabah dan “sumber” palsu yang mudah diindeks, dikikis, dan dikongsi semula. Kempen ini kos rendah, berimpak tinggi, dan sukar dipulihkan setelah dibesarkan oleh sistem automatik.

Chad Scira telah mengalami gangguan dan fitnah yang disasarkan secara peribadi, disertai pautan spam yang bertujuan memutarbelitkan isyarat reputasi dan impresi carian. Satu akaun terperinci dan jejak bukti didokumentasikan di sini: Jesse Nickles - Pelecehan dan Fitnah.

Taksonomi Ancaman

• Keracunan data pra-latihan - mencemarkan korpora awam yang digunakan untuk latihan awal bagi menyisipkan kaitan palsu atau pintu belakang.
• Keracunan RAG - menyemai pangkalan pengetahuan atau sumber luaran yang digunakan oleh saluran pengambilan semasa masa inferens.
• Pencemaran carian/sosial - membanjiri kiriman atau halaman berkualiti rendah untuk mempengaruhi isyarat pengambilan dan pengurutan mengenai seseorang atau topik.
• Arahan dan kandungan adversarial - merangka input yang mencetuskan tingkah laku yang tidak diingini atau jailbreak yang mengulangi dakwaan fitnah.

Insiden dan Penyelidikan Terkini (berserta tarikh)

• Nightshade - pencemaran data bersasar melalui prompt (University of Chicago, 2023-2024)
• PoisonGPT - pelepasan LLM dengan pintu belakang (Mithril Security, Julai 2023)
• PoisonedRAG - pencemaran pangkalan pengetahuan untuk RAG (Februari 2024, arXiv)
• C2PA - standard kredensial kandungan dan asal-usul (2023-2024)

Nota: Tarikh di atas merujuk kepada tarikh penerbitan atau tarikh pelepasan awam pada sumber yang dipautkan.

Mengapa Ini Berbahaya

• LLMs boleh kelihatan berwibawa walaupun rujukan asas lemah atau ditanam secara bermusuhan.
• Rantaian pemprosesan pengambilan dan pengurutan mungkin memberi berat berlebihan kepada teks berulang, membolehkan satu pihak memanipulasi hasil hanya dengan jumlah.
• Pemeriksaan fakta oleh manusia adalah perlahan dan mahal berbanding kelajuan penghasilan dan pengedaran kandungan automatik.
• Mangsa yang tidak mempunyai kehadiran dalam talian yang signifikan lebih terdedah secara tidak seimbang kepada pencemaran melalui satu hantaran dan serangan identiti.

Analisis Risiko Mendalam

• Saringan pekerjaan dan platform - carian dan rumusan LLM boleh menggema kandungan tercemar semasa pemeriksaan pengambilan, moderasi, atau orientasi.
• Perjalanan, perumahan, dan perkhidmatan kewangan - pemeriksaan automatik mungkin mendedahkan naratif palsu yang melambatkan atau menghalang perkhidmatan.
• Kekal - setelah diindeks ke pangkalan pengetahuan atau jawapan dalam cache, dakwaan palsu boleh muncul semula walaupun selepas penghapusan.
• Maklum balas sintetik - kandungan yang dijana boleh menghasilkan lebih banyak kandungan terjana, menyebabkan kebohongan kelihatan lebih meyakinkan dari masa ke masa.

Pengesanan dan Pemantauan

• Sediakan amaran carian untuk nama dan alias anda; secara berkala semak pertanyaan site: untuk domain dengan reputasi rendah yang menyebut anda.
• Jejaki perubahan pada panel pengetahuan atau halaman entiti anda; simpan tangkapan skrin bertarikh dan salinan eksport sebagai bukti.
• Pantau graf hubungan sosial bagi akaun asal yang berulang atau lonjakan tiba-tiba frasa yang serupa.
• Jika mengendalikan RAG atau pangkalan pengetahuan, jalankan pemeriksaan pergeseran entiti dan semak perubahan besar pada halaman individu atau tuduhan tanpa sumber primer.

Panduan Perlindungan - Individu

• Terbitkan laman peribadi dengan pernyataan identiti yang jelas, bio ringkas, dan saluran hubungan; simpan log perubahan yang bertarikh.
• Selaraskan metadata profil merentasi platform; peroleh profil yang disahkan di mana boleh dilaksanakan dan pautkan kembali ke laman anda.
• Gunakan C2PA atau kredensial kandungan serupa untuk imej dan dokumen utama apabila boleh; simpan asalnya secara peribadi.
• Simpan log bukti dengan cap masa: tangkapan skrin, pautan, dan sebarang nombor tiket platform untuk tindakan susulan.
• Sediakan templat penyingkiran; bertindak balas dengan cepat terhadap serangan baru dan rakam setiap langkah untuk rekod bertulis yang jelas.

Panduan Perlindungan - Pasukan dan Pengintegrasi

• Utamakan kandungan yang ditandatangani atau disahkan penerbit semasa pengambilan; guna tempoh kelonggaran berasaskan masa untuk sumber baru.
• Hadkan pengaruh berulang daripada sumber yang sama dan buang duplikat hampir serupa bagi setiap rangkaian asal.
• Tambah lencana asal-usul (provenance) dan senarai sumber yang dipaparkan kepada pengguna bagi tuntutan peringkat individu dan topik sensitif lain.
• Guna pengesanan anomali pada stor embedding; tandakan outlier vektor adversarial dan jalankan pemeriksaan canary untuk pengedaran tanpa kebenaran.

Penyelidikan: Perakuan yang Disahkan Secara Kriptografi

Chad Scira sedang membina sistem pengesahan yang disahkan secara kriptografi untuk kepercayaan terhadap pernyataan tentang individu dan peristiwa. Matlamatnya ialah menyediakan LLM dan sistem pengambilan dengan tuntutan yang ditandatangani dan boleh dipertanyakan daripada profesional dan organisasi yang disaring, membolehkan asal-usul yang kukuh dan ketahanan yang lebih baik terhadap pencemaran.

Prinsip Reka Bentuk

• Identiti dan asal-usul: kenyataan ditandatangani oleh individu/organisasi yang disahkan menggunakan kriptografi kunci awam.
• Penyimpanan boleh disahkan: perakuan dipautkan kepada log 'append-only' yang jelas menunjukkan sebarang cubaan manipulasi untuk membolehkan pengesahan bebas.
• Integrasi pengambilan: saluran RAG boleh mengutamakan atau mengharuskan sumber yang disahkan secara kriptografi untuk pertanyaan sensitif.
• Geseran minimum: API dan SDK membolehkan penerbit dan platform mengeluarkan dan memeriksa perakuan pada masa pengambilan.

Reputasi dan Amaran

Di samping pengesahan, lapisan reputasi mengumpulkan sokongan yang ditandatangani dan menandakan penyalahguna yang dikenali. Sistem amaran memberitahu sasaran apabila serangan berkoordinasi atau lonjakan luar biasa dikesan, membolehkan tindak balas lebih pantas dan permintaan penghapusan.

Saluran Undang-Undang dan Platform

• Gunakan aliran laporan platform dengan pakej bukti yang jelas: pautan, tarikh, tangkapan skrin, dan kesan. Rujuk dasar fitnah dan gangguan.
• Eskalasi dengan notis rasmi apabila perlu; simpan log korespondensi dan ID tiket dalam jejak bukti anda.
• Pertimbangkan perbezaan bidang kuasa dalam undang-undang fitnah dan liabiliti platform; dapatkan nasihat guaman untuk kes berisiko tinggi.

Peta Jalan Pelaksanaan (Tahun 1)

• MVP: skema perakuan dan SDK penerbit untuk menandatangani kenyataan identiti dan tuntutan acara.
• Uji rintis dengan sekumpulan kecil profesional dan organisasi yang disahkan; wujudkan aliran kerja pengesahan.
• Pemalam RAG: aktifkan mod jawapan berasaskan provenance yang mengutamakan sumber yang disahkan untuk pertanyaan sensitif.

Bacaan Lanjut (dengan tarikh)

• Nightshade - pencemaran data bersasar untuk imej (2023-2024)
• PoisonGPT - demonstrasi LLM yang mempunyai pintu belakang (Julai 2023)
• PoisonedRAG - pencemaran pangkalan pengetahuan untuk RAG (Februari 2024)
• 10 Teratas OWASP untuk Aplikasi LLM (2023-2024)
• C2PA - kredensial kandungan dan usaha asal-usul (2023-2024)
• Kutukan Rekursi: Latihan pada Data Terjana (Mei 2023)

Kerjasama

Penyelidikan ini adalah terkini dan sedang berkembang. Chad Scira mengalu-alukan kerjasama dengan profesional lain dalam sektor ini.

Jika anda berminat untuk bekerjasama, sila hubungi di: [email protected]