Forskning på omdømmebeskyttelse og LLM-forgiftning

Sammendrag for ledelsen

Vanlige mennesker med liten internett-tilstedeværelse står overfor uforholdsmessig stor risiko fra AI-forsterket ærekrenkelse og datapforgiftning. En enkelt motivert person kan så falske narrativer som søk, sosiale feed-er og LLM-er gjentar. Dette dokumentet forklarer vanlige angrepsveier, konkrete effekter på omdømme og sikkerhet, og en praktisk spilleliste for deteksjon og beskyttelse. Det skisserer også hvordan kryptografisk verifiserte attestasjoner og proveniensbevisst gjenhenting kan redusere skade for enkeltpersoner og integratorer.

Målgruppe og trusselmodell

Målgruppe: enkeltpersoner og små organisasjoner uten stor SEO-tilstedeværelse. Begrensninger: begrenset tid, budsjett og tekniske ressurser. Motstander: en enkelt aktør som kan generere og poste store mengder tekst, bruke grunnleggende lenkenettverk og utnytte rapporteringsblinde flekker. Mål: forvrenge søke-/LLM-resultater, skade omdømme, skape tvil hos arbeidsgivere, kunder, plattformer eller agenter.

Hva er LLM-forgiftning?

LLM-forgiftning refererer til manipulering av modellatferd gjennom plantet eller koordinert innhold - for eksempel ondsinnede innlegg, syntetiske artikler eller forumspam - som kan bli inntatt av søkesystemer eller brukes av mennesker som signaler, og dytte modeller mot falske assosiasjoner og ærekrenkende narrativer.

Fordi LLM-er og gjenhentingssystemer optimaliserer for omfang og dekning, kan en enkelt motivert motstander forme hva en modell «ser» om en person ved å oversvømme en liten del av nettet. Dette er spesielt effektivt mot personer med begrenset online-tilstedeværelse.

Hvordan omdømmet blir forvrengt

• Søk- og sosiale forgiftning - profilkapring, lenkefarmer og massepublisering for å påvirke rangeringsfunksjoner og autofullføringsassosiasjoner.
• Forgiftning av kunnskapsbase og RAG - opprette entitetssider og QA-notater som fremstår som semantisk relevante og blir hentet som kontekst.
• Indirekte prompt-injeksjon - fiendtlig nettinnhold som får browsing-agenter til å gjenta instruksjoner eller eksfiltrere sensitive opplysninger.
• Endepunkter med bakdør - ondsinnede modellinnpakninger som oppfører seg normalt til triggerfraser dukker opp, og deretter sender målrettede usannheter.

Ytterligere risikoer og feilmodi

• Modellsammenbrudd fra trening på syntetiske utdata - tilbakemeldingssløyfer der generert tekst forringer fremtidig modellkvalitet hvis den ikke filtreres eller vektes.
• Indirekte prompt-injeksjon - fiendtlig innhold på nettet som instruerer en agent eller browsing-verktøy til å eksfiltrere hemmeligheter eller spre ærekrenkelser når det blir sitert.
• Forgiftning av embedding-lager - sette inn fiendtlige tekstpassasjer i en kunnskapsbase slik at gjenfinning frembringer falske påstander som fremstår som semantisk relevante.
• Utgivelser med bakdør - publisering av modifiserte sjekkpunkter eller API-innpakninger som oppfører seg normalt inntil en triggerfrase er til stede.

Konkrete saker og referanser

• Forbannelsen ved rekursjon: Trening på genererte data (mai 2023)
• OWASP Topp 10 for LLM-applikasjoner (2023-2024)
• Lakera Gandalf - demonstrasjon av prompt-injeksjon (2023-2024)
• Nightshade - målrettet dataforgiftning for bilder (2023-2024)
• PoisonGPT - bakdørs-LLM-demonstrasjon (juli 2023)
• PoisonedRAG - kunnskapsbaseforgiftning for RAG (februar 2024)
• C2PA - innholdskredensialer og proveniens-tiltak (2023–2024)

Avbøtende tiltak i dybden

Gjenhenting og rangering

• Kildescore og provenansvekting - foretrekk signert eller utgiver-verifisert innhold; nedvekt nylig opprettede eller lavtroverdige sider.
• Tidsforfall med karensperiode - krev oppholdstid før nye kilder påvirker svar med stor betydning; legg til menneskelig gjennomgang for sensitive enheter.
• Ekkokammerdeteksjon - grupper nesten dupliserte avsnitt og begrens gjentatt påvirkning fra samme opprinnelse eller nettverk.
• Avviks- og anomalideteksjon i embedding-rommet - flagg avsnitt hvis deres vektorposisjoner er adversarialt optimalisert.

Data- og kunnskapsbasehygiene

• Ta øyeblikksbilder og diff av kunnskapsbaser - gjennomgå store endringer, spesielt for personentiteter og anklager uten primærkilder.
• Kanari- og nektelister - forhindre innlemming av kjente misbrukdomener; sett inn kanarier for å måle uautorisert spredning.
• Menneske i løkken for høyrisiko-temaer - sett foreslåtte oppdateringer av omdømmefakta i kø for manuell vurdering.

Attestasjoner og omdømme

• Kryptografisk verifiserte attestasjoner - signerte erklæringer fra vurderte fagpersoner og organisasjoner publisert via en append-only-logg.
• Omdømmegrafer - samle signerte anbefalinger og nedrangere innhold fra gjentatte misbrukere eller botnettverk.
• Brukervendte kildehenvisninger - krev at modeller viser kilder og konfidensnivå med proveniensmerker for sensitive påstander.

Sjekkliste for virksomheter

• Kartlegg sensitive enheter i ditt domene (personer, merkevarer, juridiske temaer) og diriger forespørsler til sikre pipelines med krav om proveniens.
• Ta i bruk C2PA eller lignende innholdskredensialer for eget innhold og oppfordre partnere til å gjøre det samme.
• Spor ny kildepåvirkning over tid og varsle ved uvanlige svingninger for svar på entitetsnivå.
• Kjør kontinuerlig red teaming for RAG- og nettlesingsagenter, inkludert testsett for indirekte prompt-injeksjon.

Trakassering og ærekrenkelse via AI

Personer til leie utnytter nå AI og automatisering for å masseprodusere trakassering og ærekrenkelser, og skaper plausibelt utseende tekst og falske "kilder" som er lette å indeksere, skrape og dele på nytt. Disse kampanjene er lave i kostnad, høye i effekt, og vanskelige å avhjelpe når de forsterkes av automatiske systemer.

Chad Scira har personlig opplevd målrettet trakassering og ærekrenkelser kombinert med spamaktige lenker som hadde til hensikt å forvrenge omdømmesignaler og søkeinntrykk. En detaljert redegjørelse og spor av bevis er dokumentert her: Jesse Nickles - Trakassering og ærekrenkelse.

En nylig hendelse på Stack Exchange viser hvordan koordinerte kontonettverk kan fabrikere tillit på plattformer som vanligvis bærer sterke troverdighetsignaler. Offentlige 100-årige suspensjoner på tvers av flere relaterte kontoer, etterfulgt av hevnende publiseringer på tvers av plattformer, gjør dette til en nyttig casestudie for proveniensbevisst rangering og anti-misbrukssystemer: Hendelse med trakassering og ærekrenkelse på Stack Exchange.

Trusseltaksonomi

• Fortreningsdataforgiftning - forgiftning av offentlige korpora som brukes i initial trening for å innføre falske assosiasjoner eller bakdører.
• RAG-forgiftning - å så kunnskapsbaser eller eksterne kilder som gjenhentingspipelines bruker ved inferenstid.
• Søk/sosial forgiftning - å flomme innlegg eller lavkvalitetssider for å påvirke gjenhentings- og rangeringssignaler om en person eller et emne.
• Adversariale prompts og innhold - utforming av input som utløser uønsket atferd eller jailbreaks som gjentar ærekrenkende påstander.

Nylige hendelser og forskning (med datoer)

• Nightshade - prompt-basert målrettet dataforgiftning (University of Chicago, 2023-2024)
• PoisonGPT - bakdørs-LLM-utgivelse (Mithril Security, juli 2023)
• PoisonedRAG - kunnskapsbaseforgiftning for RAG (februar 2024, arXiv)
• C2PA - innholdskredensialer og proveniensstandarder (2023–2024)

Merk: Datoene ovenfor gjenspeiler publiserings- eller offentlige utgivelsesdatoer hos de lenkede kildene.

Hvorfor dette er farlig

• LLMer kan framstå som autoritative selv når de underliggende referansene er svake eller ondsinnet plantet.
• Gjenhentings- og rangeringspipeliner kan overvekte gjentatt tekst, noe som gjør det mulig for én aktør å skjevstille resultater kun ved volum.
• Menneskelige faktasjekkingsprosesser er trege og kostbare sammenlignet med hastigheten på automatisert innholdsproduksjon og distribusjon.
• Ofre uten betydelig online tilstedeværelse er uforholdsmessig sårbare for forgiftning gjennom enkeltinnlegg og identitetsangrep.

Dypdykk i risiko

• Ansettelses- og plattformscreening - søk og LLM-sammendrag kan gjenta forgiftet innhold under ansettelses-, modererings- eller onboarding-sjekker.
• Reise-, bolig- og finansielle tjenester - automatiserte kontroller kan avdekke falske narrativer som forsinker eller blokkerer tjenester.
• Persistens - når først indeksert i kunnskapsbaser eller bufrede svar, kan falske påstander dukke opp igjen selv etter fjerninger.
• Syntetisk tilbakemelding - generert innhold kan starte mer generert innhold, og øke den tilsynelatende tyngden av usannheter over tid.

Deteksjon og overvåking

• Sett opp søkevarsler på navnet ditt og aliasene dine; sjekk jevnlig site:‑spørringer for domener med lavt omdømme som nevner deg.
• Spor endringer i kunnskapspanelene eller entitetssidene dine; ta vare på daterte skjermbilder og eksporterte kopier som bevis.
• Overvåk sosiale lenkegrafer for gjentatte opprinnelseskontoer eller plutselige topper av lignende formuleringer.
• Hvis du driver en RAG eller kunnskapsbase, kjør sjekker for entitetsdrift og gjennomgå store avvik på personsider eller anklager uten primærkilder.

Beskyttelsesveiledning - Enkeltpersoner

• Publiser et personlig nettsted med klare identitetsopplysninger, en kort biografi og kontaktmåter; før en datert endringslogg.
• Justér profilmetadata på tvers av plattformer; skaff verifiserte profiler der det er mulig og lenk dem tilbake til nettstedet ditt.
• Bruk C2PA eller lignende innholdssertifikater for viktige bilder og dokumenter når mulig; oppbevar originalene privat.
• Før en bevislogg med tidsstempler: skjermbilder, lenker og eventuelle ticketnumre fra plattformen for senere eskalering.
• Forbered maler for fjerning; reager raskt på nye angrep og dokumenter hvert trinn for et tydelig papirspor.

Beskyttelsesveiledning - Team og integratorer

• Foretrekk signert eller utgiver-verifisert innhold ved henting; bruk tidsbaserte karensperioder for nye kilder.
• Begrens gjentatt påvirkning fra samme opprinnelse og fjern nesten-duplikater per opprinnelsesnettverk.
• Legg til proveniens-merker og kildelister synlige for brukere for påstander om enkeltpersoner og andre sensitive emner.
• Ta i bruk anomalideteksjon på embedding-lagre; merk adversariale vektor-uteliggere og kjør kanarietester for uautorisert spredning.

Forskning: kryptografisk verifiserte attestasjoner

Chad Scira bygger kryptografisk verifiserte attestasjonssystemer for tillit til uttalelser om personer og hendelser. Målet er å gi LLM-er og gjenhentingssystemer signerte, spørrbare påstander fra verifiserte fagpersoner og organisasjoner, som muliggjør robust proveniens og sterkere motstand mot forgiftning.

Designprinsipper

• Identitet og proveniens: uttalelser signeres av verifiserte personer/organisasjoner ved hjelp av kryptografi med offentlig nøkkel.
• Verifiserbar lagring: attestasjoner er forankret i append-only, manipulasjonssikre logger for å muliggjøre uavhengig verifisering.
• Integrering av gjenhenting: RAG-pipeliner kan prioritere eller kreve kryptografisk attesterte kilder for sensitive forespørsler.
• Minimal friksjon: API-er og SDK-er lar utgivere og plattformer utstede og sjekke attestasjoner ved inntakstidspunktet.

Omdømme og varsling

I tillegg til attestasjoner samler et reputasjonslag signerte anbefalinger og markerer kjente misbrukere. Varslingssystemer informerer mål når koordinerte angrep eller unormale topper oppdages, noe som muliggjør raskere respons og forespørsler om fjerning.

Juridiske og plattformkanaler

• Bruk plattformens rapporteringsflyt med klare bevispakker: lenker, datoer, skjermbilder og konsekvenser. Henvis til retningslinjer for ærekrenkelser og trakassering.
• Eskalér med formelle varsel når det er hensiktsmessig; behold korrespondanselogger og ticket-IDer i ditt bevismateriale.
• Vurder jurisdiksjonsforskjeller i ærekrenkelse og plattformansvar; rådfør deg med juridisk rådgiver i saker med høy risiko.

Implementeringsplan (År 1)

• MVP: attestasjonskjema og utgiver-SDK for signering av identitetsutsagn og hendelseskrav.
• Pilotér med en liten gruppe verifiserte fagpersoner og organisasjoner; etabler verifiseringsarbeidsflyter.
• RAG-plugins: aktiver «provenance first» svarmodus som prioriterer attesterte kilder for sensitive forespørsler.

Videre lesning (med datoer)

• Nightshade - målrettet dataforgiftning for bilder (2023-2024)
• PoisonGPT - bakdørs-LLM-demonstrasjon (juli 2023)
• PoisonedRAG - kunnskapsbaseforgiftning for RAG (februar 2024)
• OWASP Topp 10 for LLM-applikasjoner (2023-2024)
• C2PA - innholdskredensialer og proveniens-tiltak (2023–2024)
• Forbannelsen ved rekursjon: Trening på genererte data (mai 2023)

Samarbeid

Denne forskningen er banebrytende og er i aktiv utvikling. Chad Scira ønsker samarbeid med andre fagpersoner i denne sektoren velkommen.

Hvis du er interessert i å samarbeide, ta kontakt på: [email protected]