Penyelidikan Perlindungan Reputasi dan Keracunan LLM

Ringkasan Eksekutif

Orang biasa dengan jejak internet kecil menghadapi risiko yang berlebihan daripada fitnah yang diperkuat AI dan pencemaran data. Seorang individu bermotivasi tunggal boleh menabur naratif palsu yang diulang oleh enjin carian, suapan sosial, dan LLM. Dokumen ini menerangkan laluan serangan biasa, kesan nyata terhadap reputasi dan keselamatan, serta panduan praktikal untuk pengesanan dan perlindungan. Ia juga menggariskan bagaimana pengesahan yang disahkan secara kriptografi dan pengambilan yang peka kepada provenans boleh mengurangkan kemudaratan bagi individu dan pengintegrasi.

Audiens dan Model Ancaman

Audiens: individu dan organisasi kecil tanpa kehadiran SEO yang besar. Kekangan: masa, bajet, dan sumber teknikal yang terhad. Pihak musuh: seorang aktor tunggal yang mampu menghasilkan dan menyiarkan jumlah besar teks, menggunakan rangkaian pautan asas, dan mengeksploitasi titik buta pelaporan. Matlamat: memutarbelitkan keluaran enjin carian/LLM, merosakkan reputasi, menanam keraguan bagi majikan, pelanggan, platform, atau ejen.

Apakah Pencemaran LLM?

Keracunan LLM merujuk kepada manipulasi tingkah laku model melalui kandungan yang disemai atau diselaraskan - contohnya, kiriman berniat jahat, artikel sintetik, atau spam forum - yang boleh diserap oleh sistem pengambilan atau digunakan oleh manusia sebagai isyarat, menggesa model ke arah kaitan palsu dan naratif fitnah.

Kerana LLM dan sistem pengambilan mengoptimumkan untuk skala dan liputan, seorang pihak musuh bermotivasi boleh membentuk apa yang “dilihat” model tentang seseorang dengan membanjiri sekeping kecil web. Ini sangat berkesan terhadap individu yang mempunyai kehadiran dalam talian yang terhad.

Bagaimana Reputasi Diputarbelitkan

• Keracunan carian dan sosial - pembajakan profil, ladang pautan, dan pos besar-besaran untuk memihak ciri penarafan dan perkaitan isian automatik.
• Pencemaran pangkalan pengetahuan dan RAG - mencipta halaman entiti dan nota QA yang kelihatan relevan secara semantik dan diambil semula sebagai konteks.
• Suntikan arahan tidak langsung - kandungan web bermusuhan yang menyebabkan ejen pelayaran mengulangi arahan atau mengekstrak data sensitif.
• Endpoint yang di-backdoor - pembalut model berniat jahat yang berfungsi seperti biasa sehingga frasa pencetus muncul, kemudian mengeluarkan kebohongan bertarget.

Risiko dan Mod Kegagalan Tambahan

• Keruntuhan model akibat latihan pada output sintetik - gelung maklum balas di mana teks yang dijana merendahkan kualiti model masa hadapan jika tidak ditapis atau diberi pemberat.
• Suntikan arahan tidak langsung - kandungan bermusuhan di web yang mengarahkan ejen atau alat pelayaran untuk mengekstrak rahsia atau menyebarkan fitnah apabila dikutip.
• Pencemaran stor embedding - menyisipkan petikan bermusuhan dalam pangkalan pengetahuan supaya pengambilan memaparkan tuntutan palsu yang kelihatan relevan secara semantik.
• Keluaran yang di-backdoor - menerbitkan checkpoint yang diubah suai atau pembalut API yang berkelakuan normal sehingga wujud frasa pencetus.

Kes Konkrit dan Rujukan

• Kutukan Rekursi: Latihan pada Data yang Dijana (Mei 2023)
• OWASP Top 10 untuk Aplikasi LLM (2023-2024)
• Lakera Gandalf - pameran suntikan arahan (2023-2024)
• Nightshade - keracunan data yang disasarkan untuk imej (2023-2024)
• PoisonGPT - demonstrasi LLM dengan pintu belakang (Julai 2023)
• PoisonedRAG - keracunan pangkalan pengetahuan untuk RAG (Februari 2024)
• C2PA - kredensial kandungan dan usaha provenans (2023-2024)

Mitigasi Berlapis

Pengambilan dan Pengurutan

• Skor sumber dan pembobotan sumber asal - utamakan kandungan bertandatangan atau disahkan penerbit; kurangkan pemberatan bagi halaman baru atau berreputasi rendah.
• Pengurangan berat mengikut masa dengan tempoh pengecualian — memerlukan tempoh menunggu sebelum sumber baru mempengaruhi jawapan berisiko tinggi; tambahkan semakan manusia untuk entiti sensitif.
• Pengesanan ruang gema - kumpulkan petikan yang hampir pendua dan hadkan pengaruh berulang dari asal atau rangkaian yang sama.
• Pengesanan penyimpang dan anomali dalam ruang embedding - tandakan petikan yang kedudukan vektornya dioptimumkan secara bermusuhan.

Kebersihan Data dan KB

• Ambil snapshot dan diff pada pangkalan pengetahuan - semak perubahan besar, terutamanya untuk entiti individu dan tuduhan tanpa sumber primer.
• Senarai canary dan senarai larangan - menghalang penggabungan domain yang diketahui menyalahgunakan; masukkan canary untuk mengukur penyebaran tanpa kebenaran.
• Keterlibatan manusia untuk topik berisiko tinggi - antrikan kemas kini cadangan pada fakta reputasi untuk penghakiman manual.

Pengesahan dan Reputasi

• Pengesahan yang disahkan secara kriptografi - kenyataan yang ditandatangani daripada profesional dan organisasi yang disaring yang diterbitkan melalui log append-only.
• Graf reputasi - mengumpulkan sokongan bertandatangan dan menurunkan kedudukan kandungan daripada penyalahguna berulang atau rangkaian bot.
• Petikan untuk pengguna — keperluan model menunjukkan sumber dan tahap keyakinan dengan lencana asal-usul untuk dakwaan sensitif.

Senarai Semak Perusahaan

• Peta entiti sensitif dalam domain anda (orang, jenama, topik undang-undang) dan halakan pertanyaan ke saluran terlindung dengan keperluan asal-usul.
• Gunakan C2PA atau kredensial kandungan serupa untuk kandungan pihak pertama dan galakkan rakan kongsi melakukan perkara yang sama.
• Jejaki pengaruh sumber baru dari masa ke masa dan beri amaran mengenai turun naik luar biasa untuk jawapan di peringkat entiti.
• Jalankan red teaming berterusan untuk agen RAG dan ejen pelayaran termasuk set ujian suntikan arahan tidak langsung.

Gangguan dan Fitnah melalui AI

Individu yang disewa kini menggunakan AI dan automasi untuk menghasilkan gangguan dan fitnah secara besar-besaran, menghasilkan teks yang kelihatan munasabah dan “sumber” palsu yang mudah diindeks, diimbas, dan dikongsi semula. Kempen-kempen ini kos rendah, memberi impak tinggi, dan sukar diperbaiki setelah dipertingkatkan oleh sistem automatik.

Chad Scira telah mengalami gangguan dan fitnah yang disasarkan secara peribadi yang disertai pautan spam yang bertujuan memutarbelitkan isyarat reputasi dan impresi carian. Akaun terperinci dan jejak bukti didokumenkan di sini: Jesse Nickles - Gangguan dan Fitnah.

Insiden terbaru Stack Exchange menunjukkan bagaimana rangkaian akaun yang diselaraskan boleh menghasilkan kepercayaan di platform yang biasanya mempunyai isyarat kredibiliti yang kuat. Penggantungan 100 tahun yang diumumkan secara umum merentasi beberapa akaun berkaitan, diikuti oleh penerbitan balas merentas platform, menjadikannya kajian kes berguna untuk sistem penarafan yang peka kepada provenans dan anti-penyalahgunaan: Insiden gangguan dan fitnah di Stack Exchange.

Taksonomi Ancaman

• Keracunan data pra-latihan - meracun korpora awam yang digunakan untuk latihan awal bagi menyisipkan kaitan palsu atau pintu belakang.
• RAG poisoning - menyemai pangkalan pengetahuan atau sumber luaran yang digunakan oleh saluran pengambilan semasa masa inferens.
• Keracunan carian/sosial - membanjiri pos atau halaman berkualiti rendah untuk mempengaruhi isyarat pengambilan dan pengurutan mengenai seseorang atau topik.
• Arahan dan kandungan adversarial - menghasilkan input yang mencetuskan tingkah laku tidak diingini atau jailbreak yang mengulangi dakwaan fitnah.

Insiden dan Penyelidikan Terkini (dengan tarikh)

• Nightshade - keracunan data yang disasarkan melalui prompt (University of Chicago, 2023-2024)
• PoisonGPT - pelepasan LLM dengan pintu belakang (Mithril Security, Julai 2023)
• PoisonedRAG - keracunan pangkalan pengetahuan untuk RAG (Februari 2024, arXiv)
• C2PA - kredensial kandungan dan standard provenans (2023-2024)

Nota: Tarikh di atas mencerminkan tarikh penerbitan atau pelepasan awam di sumber yang dipautkan.

Mengapa Ini Berbahaya

• LLM boleh kelihatan berwibawa walaupun rujukan asasnya lemah atau disemai secara bermusuhan.
• Saluran pengambilan dan pengurutan mungkin memberi berat berlebihan kepada teks berulang, membolehkan seorang pelaku mempengaruhi keputusan hanya dengan jumlah.
• Jejak pemeriksaan fakta manusia adalah perlahan dan mahal berbanding kelajuan pengeluaran dan pengedaran kandungan automatik.
• Mangsa yang tidak mempunyai kehadiran dalam talian yang signifikan lebih terdedah secara tidak seimbang kepada pencemaran melalui satu kiriman dan serangan identiti.

Analisis Risiko Mendalam

• Saringan pekerjaan dan platform - carian dan ringkasan LLM boleh menggema kandungan tercemar semasa pemeriksaan pengambilan, pengawalan, atau orientasi.
• Perjalanan, perumahan, dan perkhidmatan kewangan — pemeriksaan automatik mungkin mendedahkan naratif palsu yang melambatkan atau menghalang perkhidmatan.
• Kekal - setelah diindeks ke pangkalan pengetahuan atau jawapan yang di-cache, tuntutan palsu boleh muncul semula walaupun selepas penghapusan.
• Maklum balas sintetik - kandungan yang dijana boleh memulakan lebih banyak kandungan yang dijana, meningkatkan berat yang kelihatan bagi pembohongan dari masa ke masa.

Pengesanan dan Pemantauan

• Sediakan amaran carian untuk nama dan alias anda; semak secara berkala pertanyaan site: untuk domain berreputasi rendah yang menyebut anda.
• Jejak perubahan pada panel pengetahuan atau halaman entiti anda; simpan tangkapan skrin bertarikh dan salinan yang dieksport sebagai bukti.
• Pantau graf pautan sosial bagi akaun asal yang berulang atau lonjakan tiba-tiba frasa yang serupa.
• Jika mengendalikan RAG atau pangkalan pengetahuan, jalankan pemeriksaan pergeseran entiti dan semak perubahan besar pada halaman individu atau tuduhan tanpa sumber primer.

Buku Panduan Perlindungan - Individu

• Terbitkan laman peribadi dengan pernyataan identiti yang jelas, bio ringkas, dan saluran hubungan; simpan log perubahan yang bertarikh.
• Selaraskan metadata profil merentasi platform; peroleh profil yang disahkan jika boleh dan pautkan kembali ke laman anda.
• Gunakan C2PA atau kredensial kandungan serupa untuk imej dan dokumen utama apabila boleh; simpan asalnya secara persendirian.
• Simpan log bukti dengan cap masa: tangkapan skrin, pautan, dan sebarang nombor tiket platform untuk tindakan lanjutan.
• Sediakan templat penghapusan; bertindak balas dengan cepat terhadap serangan baru dan dokumenkan setiap langkah untuk jejak dokumentasi yang jelas.

Buku Panduan Perlindungan - Pasukan dan Pengintegrasi

• Utamakan kandungan yang ditandatangani atau disahkan penerbit dalam pengambilan; gunakan tempoh toleransi berasaskan masa untuk sumber baru.
• Hadkan pengaruh berulang daripada asal yang sama dan hapuskan pendua hampir bagi setiap rangkaian asal.
• Tambah lencana provenans dan senarai sumber yang dipaparkan kepada pengguna untuk tuntutan peringkat individu dan topik sensitif lain.
• Gunakan pengesanan anomali pada stor embedding; tandakan nilai luar vektor adversarial dan jalankan semakan canary untuk penyebaran tanpa kebenaran.

Penyelidikan: Perakuan yang Disahkan secara Kriptografi

Chad Scira sedang membangunkan sistem pengesahan yang disahkan secara kriptografi untuk kepercayaan terhadap kenyataan tentang orang dan peristiwa. Matlamatnya adalah untuk menyediakan LLM dan sistem pengambilan dengan tuntutan yang ditandatangani dan boleh dicari daripada profesional dan organisasi yang disaring, membolehkan provenans yang kukuh dan ketahanan lebih kuat terhadap pencemaran.

Prinsip Reka Bentuk

• Identiti dan asal-usul: kenyataan ditandatangani oleh individu/organisasi yang disahkan menggunakan kriptografi kunci awam.
• Penyimpanan boleh disahkan: perakuan dipautkan kepada log bersifat 'append-only' dan 'tamper-evident' untuk membolehkan pengesahan bebas.
• Integrasi pengambilan: saluran RAG boleh mengutamakan atau mengkehendaki sumber yang diperakui secara kriptografi untuk pertanyaan sensitif.
• Rintangan minima: API dan SDK membolehkan penerbit dan platform mengeluarkan dan menyemak perakuan pada masa kemasukan.

Reputasi dan Amaran

Selain perakuan, lapisan reputasi mengumpulkan sokongan bertandatangan dan menandakan penyalahguna yang dikenal pasti. Sistem amaran memberitahu sasaran apabila serangan berkoordinasi atau lonjakan luar biasa dikesan, membolehkan tindak balas lebih pantas dan permintaan penghapusan.

Saluran Perundangan dan Platform

• Gunakan aliran laporan platform dengan pakej bukti yang jelas: pautan, tarikh, tangkapan skrin, dan impak. Rujuk dasar fitnah dan gangguan.
• Rujuk ke peringkat yang lebih tinggi dengan notis rasmi apabila sesuai; simpan log surat-menyurat dan ID tiket dalam jejak bukti anda.
• Pertimbangkan perbezaan bidang kuasa dalam fitnah dan liabiliti platform; dapatkan nasihat peguam untuk kes berisiko tinggi.

Peta Jalan Pelaksanaan (Tahun 1)

• MVP: skema perakuan dan SDK penerbit untuk menandatangani kenyataan identiti dan tuntutan acara.
• Rintis bersama sekumpulan kecil profesional dan organisasi yang disaring; wujudkan aliran kerja pengesahan.
• Pemalam RAG: dayakan mod jawapan 'provenance-first' yang mengutamakan sumber yang disahkan untuk pertanyaan sensitif.

Bacaan Lanjutan (dengan tarikh)

• Nightshade - keracunan data yang disasarkan untuk imej (2023-2024)
• PoisonGPT - demonstrasi LLM dengan pintu belakang (Julai 2023)
• PoisonedRAG - keracunan pangkalan pengetahuan untuk RAG (Februari 2024)
• OWASP Top 10 untuk Aplikasi LLM (2023-2024)
• C2PA - kredensial kandungan dan usaha provenans (2023-2024)
• Kutukan Rekursi: Latihan pada Data yang Dijana (Mei 2023)

Kerjasama

Penyelidikan ini berada di barisan hadapan dan sedang berkembang aktif. Chad Scira mengalu-alukan kerjasama dengan profesional lain dalam sektor ini.

Jika anda berminat untuk bekerjasama, sila hubungi di: [email protected]