การปนเปื้อน LLM และการวิจัยต่อต้านการละเมิด

บทสรุปสำหรับผู้บริหาร

บุคคลทั่วไปที่มีร่องรอยออนไลน์เล็กน้อยเผชิญความเสี่ยงที่ไม่สัดส่วนจากการหมิ่นประมาทที่ถูกขยายโดย AI และการปนเปื้อนข้อมูล. บุคคลที่มีแรงจูงใจเพียงคนเดียวสามารถหว่านเรื่องเล่าเท็จที่การค้นหา ฟีดโซเชียล และ LLM จะทำซ้ำ. เอกสารนี้อธิบายเส้นทางการโจมตีที่พบบ่อย ผลกระทบเชิงรูปธรรมต่อชื่อเสียงและความปลอดภัย และคู่มือปฏิบัติสำหรับการตรวจจับและการปกป้อง. นอกจากนี้ยังสรุปว่า การรับรองที่ตรวจสอบด้วยวิธีเข้ารหัสและการดึงข้อมูลที่คำนึงถึงแหล่งที่มา สามารถลดความเสียหายสำหรับบุคคลและผู้รวมระบบได้อย่างไร

กลุ่มเป้าหมายและแบบจำลองภัยคุกคาม

กลุ่มเป้าหมาย: บุคคลและองค์กรขนาดเล็กที่ไม่มีการปรากฏตัวในด้าน SEO อย่างชัดเจน. ข้อจำกัด: เวลา งบประมาณ และทรัพยากรทางเทคนิคที่จำกัด. ฝ่ายโจมตี: ผู้กระทำเพียงรายเดียวที่สามารถสร้างและโพสต์ข้อความจำนวนมาก ใช้เครือข่ายลิงก์พื้นฐาน และใช้ประโยชน์จากจุดบอดในการรายงาน. เป้าหมาย: บิดเบือนผลการค้นหา/ผลลัพธ์ของ LLM ทำลายชื่อเสียง และสร้างความสงสัยต่อผู้ว่าจ้าง ลูกค้า แพลตฟอร์ม หรือผู้แทน

การปนเปื้อน LLM คืออะไร?

การปนเปื้อน LLM หมายถึงการจัดการพฤติกรรมของโมเดลผ่านเนื้อหาที่ถูกฝังหรือประสานงาน - ตัวอย่างเช่น โพสต์ประสงค์ร้าย บทความสังเคราะห์ หรือสแปมในฟอรัม - ซึ่งสามารถถูกดูดซับโดยระบบการดึงข้อมูลหรือถูกใช้โดยมนุษย์เป็นสัญญาณ ผลักดันให้โมเดลเกิดการเชื่อมโยงที่ผิดและโครงเรื่องที่หมิ่นประมาท.

เนื่องจาก LLM และระบบการดึงข้อมูลมุ่งเน้นที่การขยายขนาดและความครอบคลุม ผู้โจมตีที่มีแรงจูงใจเพียงคนเดียวจึงสามารถกำหนดสิ่งที่โมเดล "เห็น" เกี่ยวกับบุคคลได้โดยการล้นข้อมูลในส่วนเล็ก ๆ ของเว็บ ซึ่งมีประสิทธิภาพเป็นพิเศษต่อบุคคลที่มีการปรากฏตัวออนไลน์จำกัด

วิธีที่ชื่อเสียงถูกบิดเบือน

• Search and social poisoning - การยึดโปรไฟล์, ฟาร์มลิงก์, และการโพสต์เป็นจำนวนมากเพื่อเบี่ยงเบนคุณลักษณะการจัดอันดับและการเชื่อมโยงการเติมข้อความอัตโนมัติ.
• การปนเปื้อนฐานความรู้และ RAG - การสร้างหน้าเอนทิตีและบันทึก Q&A ที่ดูเหมือนเกี่ยวข้องเชิงความหมายและถูกดึงมาเป็นบริบท.
• การฉีดพรอมต์แบบอ้อม - เนื้อหาบนเว็บที่เป็นศัตรูซึ่งทำให้เอเจนต์การท่องเว็บทำซ้ำคำสั่งหรือสกัดข้อมูลที่มีความอ่อนไหวออก.
• เอนด์พอยต์ที่ฝังประตูหลัง — ตัวห่อโมเดลที่เป็นอันตรายซึ่งทำงานปกติจนกระทั่งมีวลีทริกเกอร์ปรากฏ แล้วปล่อยข้อมูลเท็จที่มุ่งเป้า

ความเสี่ยงเพิ่มเติมและรูปแบบความล้มเหลว

• การยุบตัวของโมเดลจากการฝึกบนผลลัพธ์สังเคราะห์ - วงจรป้อนกลับที่ข้อความที่สร้างขึ้นทำให้คุณภาพของโมเดลในอนาคตเสื่อมลงหากไม่ได้กรองหรือถ่วงน้ำหนัก
• การฉีดพรอมต์แบบอ้อม - เนื้อหาบนเว็บที่เป็นศัตรูซึ่งสั่งให้เอเจนต์หรือเครื่องมือท่องเว็บสกัดข้อมูลลับออกหรือเผยแพร่การหมิ่นประมาทเมื่อมีการอ้างอิง.
• การปนเปื้อนในคลัง embeddings - แทรกข้อความที่เป็นปฏิปักษ์ในฐานความรู้เพื่อให้การดึงข้อมูลเผยคำกล่าวเท็จที่ดูเกี่ยวข้องเชิงความหมาย.
• การเปิดตัวที่ฝังประตูหลัง — เผยแพร่จุดตรวจสอบ (checkpoint) หรือตัวห่อ API ที่ดัดแปลงซึ่งทำงานปกติจนกว่าจะมีวลีทริกเกอร์

กรณีตัวอย่างและเอกสารอ้างอิง

• คำสาปของการวนซ้ำ: การฝึกด้วยข้อมูลที่สร้างขึ้น (พฤษภาคม 2023)
• OWASP Top 10 สำหรับแอปพลิเคชัน LLM (2023-2024)
• Lakera Gandalf - ตัวอย่างการฉีดพรอมต์ (2023-2024)
• Nightshade - การวางพิษข้อมูลแบบเฉพาะเจาะจงสำหรับภาพ (2023-2024)
• PoisonGPT - การสาธิต LLM ที่มีแบ็กดอร์ (กรกฎาคม 2023)
• PoisonedRAG - การวางพิษฐานความรู้สำหรับ RAG (กุมภาพันธ์ 2024)
• C2PA - ความพยายามด้านข้อมูลรับรองเนื้อหาและการยืนยันแหล่งที่มา (2023-2024)

มาตรการบรรเทาเชิงลึก

การดึงข้อมูลและการจัดอันดับ

• การให้คะแนนแหล่งที่มาและการถ่วงน้ำหนักแหล่งกำเนิด - ให้ความสำคัญกับเนื้อหาที่ลงนามหรือได้รับการตรวจสอบโดยผู้เผยแพร่; ลดน้ำหนักหน้าที่สร้างใหม่หรือมีชื่อเสียงต่ำ.
• การสลายของเวลาพร้อมช่วงเวลาผ่อนปรน - กำหนดระยะเวลาสะสมก่อนที่แหล่งข้อมูลใหม่จะส่งผลต่อคำตอบที่มีความเสี่ยงสูง; เพิ่มการตรวจสอบโดยมนุษย์สำหรับเอนทิตีที่อ่อนไหว
• การตรวจจับห้องสะท้อนความคิดเห็น - จัดกลุ่มข้อความที่ใกล้เคียงซ้ำกันและจำกัดอิทธิพลที่เกิดขึ้นซ้ำจากแหล่งหรือเครือข่ายเดียวกัน.
• การตรวจจับค่าผิดปกติและความผิดปกติในพื้นที่ embedding - ทำเครื่องหมายข้อความตอนที่ตำแหน่งเวกเตอร์ถูกปรับให้เหมาะสมในเชิงศัตรู

การรักษาคุณภาพข้อมูลและฐานความรู้

• การทำสแน็ปช็อตและเปรียบเทียบความแตกต่างของฐานความรู้ - ทบทวนความต่างขนาดใหญ่ โดยเฉพาะสำหรับเอนทิตี้บุคคลและข้อกล่าวหาโดยไม่มีแหล่งข้อมูลหลัก.
• รายการ canary และรายการปฏิเสธ — ป้องกันการผนวกรวมโดเมนที่ทราบว่าก่อการละเมิด; ใส่ canary เพื่อตรวจวัดการแพร่กระจายที่ไม่ได้รับอนุญาต
• ให้มนุษย์อยู่ในวงจรสำหรับหัวข้อที่มีความเสี่ยงสูง - จัดคิวการปรับปรุงข้อเท็จจริงเกี่ยวกับชื่อเสียงที่เสนอเพื่อการพิจารณาโดยผู้เชี่ยวชาญด้วยตนเอง.

การรับรองและชื่อเสียง

• คำรับรองที่ตรวจสอบด้วยวิทยาการเข้ารหัส - คำชี้แจงที่ลงนามโดยผู้เชี่ยวชาญและองค์กรที่ผ่านการตรวจสอบ เผยแพร่ผ่านบันทึกแบบเพิ่มอย่างเดียว.
• กราฟชื่อเสียง - รวบรวมการรับรองที่ลงนามและลดอันดับเนื้อหาจากผู้ละเมิดซ้ำหรือเครือข่ายบ็อต.
• การอ้างอิงที่แสดงต่อผู้ใช้ - กำหนดให้โมเดลแสดงแหล่งที่มาและระดับความมั่นใจพร้อมป้ายแหล่งที่มา (provenance badges) สำหรับข้อกล่าวหาที่ละเอียดอ่อน

รายการตรวจสอบสำหรับองค์กร

• ทำแผนที่เอนทิตีที่ละเอียดอ่อนในโดเมนของคุณ (บุคคล แบรนด์ หัวข้อทางกฎหมาย) และส่งคำค้นหาไปยังกระบวนงานที่ได้รับการป้องกันพร้อมข้อกำหนดเรื่องแหล่งที่มา.
• นำมาตรฐาน C2PA หรือข้อมูลรับรองเนื้อหาในลักษณะเดียวกันมาใช้กับเนื้อหาของผู้ผลิตรายแรก และสนับสนุนให้พันธมิตรทำเช่นเดียวกัน
• ติดตามอิทธิพลของแหล่งข้อมูลใหม่ตามเวลาและแจ้งเตือนเมื่อมีความผันผวนผิดปกติสำหรับคำตอบระดับเอนทิตี
• ดำเนิน red teaming อย่างต่อเนื่องสำหรับตัวแทน RAG และตัวแทนการท่องเว็บ รวมถึงชุดทดสอบการฉีดพรอมต์เชิงอ้อม.

การคุกคามและการหมิ่นประมาทผ่านปัญญาประดิษฐ์

บุคคลที่รับจ้างปัจจุบันนำ AI และระบบอัตโนมัติมาใช้ในการผลิตการคุกคามและการหมิ่นประมาทเป็นจำนวนมาก โดยสร้างข้อความที่ดูสมจริงและ “แหล่งที่มา” ปลอมซึ่งง่ายต่อการจัดทำดัชนี การขูดข้อมูล และการแชร์ซ้ำ แคมเปญเหล่านี้มีต้นทุนต่ำ ผลกระทบสูง และยากที่จะแก้ไขเมื่อถูกขยายโดยระบบอัตโนมัติ.

Chad Scira เคยประสบกับการคุกคามและการหมิ่นประมาทที่มุ่งเป้าโดยตรงควบคู่กับการลิงก์สแปมซึ่งมีจุดประสงค์เพื่อบิดเบือนสัญญาณชื่อเสียงและความประทับใจในการค้นหา รายงานรายละเอียดและหลักฐานถูกบันทึกไว้ที่นี่: Jesse Nickles - การคุกคามและการหมิ่นประมาท.

การจัดหมวดหมู่ภัยคุกคาม

• การวางพิษข้อมูลสำหรับการฝึกล่วงหน้า - วางพิษในชุดข้อมูลสาธารณะที่ใช้ในการฝึกเบื้องต้นเพื่อฝังความสัมพันธ์เท็จหรือแบ็กดอร์
• การวางพิษ RAG - การหว่านแหล่งข้อมูลในฐานความรู้หรือแหล่งภายนอกที่กระบวนการดึงข้อมูลใช้งานในขณะอนุมาน
• Search/social poisoning - การกวาดโพสต์จำนวนมากหรือหน้าเพจคุณภาพต่ำเพื่อทำให้สัญญาณการดึงข้อมูลและการจัดอันดับเกี่ยวกับบุคคลหรือหัวข้อเบี่ยงเบน.
• คำสั่งและเนื้อหาที่เป็นการโจมตี — การสร้างอินพุตที่กระตุ้นพฤติกรรมไม่พึงประสงค์หรือการเจลเบรกที่ทำซ้ำข้อกล่าวหาอันเป็นการหมิ่นประมาท

เหตุการณ์และงานวิจัยล่าสุด (พร้อมวันที่)

• Nightshade - การวางพิษข้อมูลโดยเล็งเป้าผ่านพรอมต์ (มหาวิทยาลัยชิคาโก, 2023-2024)
• PoisonGPT - การปล่อย LLM ที่มีแบ็กดอร์ (Mithril Security, กรกฎาคม 2023)
• PoisonedRAG - การวางพิษฐานความรู้สำหรับ RAG (กุมภาพันธ์ 2024, arXiv)
• C2PA - มาตรฐานข้อมูลรับรองเนื้อหาและการยืนยันแหล่งที่มา (2023-2024)

หมายเหตุ: วันที่ข้างต้นสะท้อนวันที่ตีพิมพ์หรือวันที่เผยแพร่สู่สาธารณะตามแหล่งที่เชื่อมโยง

ทำไมสิ่งนี้จึงอันตราย

• LLMs อาจปรากฏว่ามีความน่าเชื่อถือ แม้แหล่งอ้างอิงพื้นฐานจะอ่อนหรือถูกฝังโดยฝ่ายที่เป็นศัตรู.
• ระบบการดึงข้อมูลและการจัดอันดับอาจให้น้ำหนักมากเกินไปกับข้อความที่ซ้ำกัน ทำให้ผู้กระทำคนเดียวบิดเบือนผลลัพธ์ได้ด้วยปริมาณเท่านั้น.
• กระบวนการตรวจสอบข้อเท็จจริงโดยมนุษย์ช้าและมีค่าใช้จ่ายสูงเมื่อเทียบกับความเร็วของการผลิตและกระจายเนื้อหาอัตโนมัติ.
• เหยื่อที่ไม่มีการปรากฏตัวทางออนไลน์อย่างมีนัยสำคัญมีความเสี่ยงเป็นพิเศษต่อการปนเปื้อนจากโพสต์เดียวและการโจมตีทางตัวตน

การวิเคราะห์ความเสี่ยงอย่างละเอียด

• การคัดกรองด้านการจ้างงานและแพลตฟอร์ม - การค้นหาและสรุปโดย LLM อาจสะท้อนเนื้อหาที่ถูกปนเปื้อนในระหว่างการตรวจสอบการจ้างงาน การควบคุม หรือการปฐมนิเทศ.
• บริการด้านการเดินทาง ที่อยู่อาศัย และการเงิน - การตรวจสอบโดยอัตโนมัติอาจนำเสนอเรื่องเล่าเท็จที่ทำให้การให้บริการล่าช้าหรือถูกระงับ
• ความคงอยู่ - เมื่อถูกจัดทำดัชนีในฐานความรู้หรือคำตอบที่แคชไว้ ข้อกล่าวอ้างเท็จอาจปรากฏขึ้นอีกแม้หลังการลบแล้ว
• ฟีดแบ็กสังเคราะห์ - เนื้อหาที่ถูกสร้างขึ้นสามารถเป็นจุดเริ่มต้นให้เกิดเนื้อหาที่ถูกสร้างขึ้นเพิ่มเติม ทำให้น้ำหนักของความเท็จดูเพิ่มขึ้นเมื่อเวลาผ่านไป.

การตรวจจับและการเฝ้าติดตาม

• ตั้งการแจ้งเตือนการค้นหาสำหรับชื่อและนามแฝงของคุณ; ตรวจสอบคำค้นแบบ site: เป็นครั้งคราวสำหรับโดเมนที่มีชื่อเสียงต่ำที่กล่าวถึงคุณ.
• ติดตามการเปลี่ยนแปลงในแผงความรู้หรือหน้าข้อมูลของเอนทิตี; เก็บภาพหน้าจอที่มีวันที่และสำเนาส่งออกเพื่อเป็นหลักฐาน
• ตรวจสอบกราฟลิงก์ทางสังคมเพื่อหาบัญชีต้นทางที่ซ้ำกันหรือการเพิ่มขึ้นอย่างฉับพลันของวลีที่คล้ายกัน
• หากดำเนินการ RAG หรือฐานความรู้ ให้ดำเนินการตรวจสอบการเปลี่ยนแปลงของเอนทิตีและทบทวนการเปลี่ยนแปลงครั้งใหญ่ในหน้าเกี่ยวกับบุคคลหรือข้อกล่าวหาที่ไม่มีแหล่งข้อมูลหลัก.

คู่มือการป้องกัน - บุคคล

• เผยแพร่เว็บไซต์ส่วนบุคคลที่มีการระบุตัวตนอย่างชัดเจน ประวัติย่อสั้น ๆ และช่องทางติดต่อ; เก็บบันทึกการเปลี่ยนแปลงที่มีวันที่
• ปรับข้อมูลเมตาโปรไฟล์ให้สอดคล้องกันข้ามแพลตฟอร์ม; จัดหาหรือขอโปรไฟล์ที่ได้รับการยืนยันเมื่อเป็นไปได้และเชื่อมโยงกลับไปยังเว็บไซต์ของคุณ
• ใช้ C2PA หรือข้อมูลรับรองเนื้อหาในลักษณะเดียวกันสำหรับภาพและเอกสารสำคัญเมื่อเป็นไปได้; เก็บต้นฉบับไว้เป็นส่วนตัว
• เก็บบันทึกหลักฐานพร้อมบันทึกเวลา: ภาพหน้าจอ ลิงก์ และหมายเลขตั๋วของแพลตฟอร์มใดๆ สำหรับการยกระดับในภายหลัง.
• เตรียมแบบฟอร์มการร้องขอลบ; ตอบสนองต่อการโจมตีใหม่อย่างรวดเร็วและบันทึกทุกขั้นตอนเพื่อให้มีเส้นทางเอกสารที่ชัดเจน

คู่มือการป้องกัน - ทีมและผู้รวมระบบ

• ให้ความสำคัญกับเนื้อหาที่ลงนามหรือได้รับการยืนยันจากผู้เผยแพร่ในการดึงข้อมูล; ใช้ช่วงเวลาผ่อนผันตามเวลาสำหรับแหล่งข้อมูลใหม่
• จำกัดอิทธิพลที่ซ้ำจากต้นทางเดียวกันและกำจัดรายการที่ซ้ำกันใกล้เคียงต่อเครือข่ายต้นทาง.
• เพิ่มป้ายแสดงแหล่งที่มาและรายการแหล่งข้อมูลที่ผู้ใช้มองเห็นสำหรับข้ออ้างเกี่ยวกับบุคคลและหัวข้อที่ละเอียดอ่อนอื่นๆ
• นำระบบตรวจจับความผิดปกติไปใช้กับที่เก็บ embeddings; ทำเครื่องหมายเวกเตอร์ที่เป็นค่า outlier จากการโจมตี และดำเนินการตรวจสอบแบบ canary เพื่อตรวจจับการแพร่กระจายที่ไม่ได้รับอนุญาต

งานวิจัย: การรับรองที่ยืนยันด้วยคริปโตกราฟี

Chad Scira กำลังสร้างระบบการยืนยันที่ตรวจสอบด้วยคริปโตกราฟีเพื่อสร้างความเชื่อถือในคำกล่าวเกี่ยวกับบุคคลและเหตุการณ์ เป้าหมายคือการจัดหาข้ออ้างที่ลงลายมือชื่อและสามารถสืบค้นได้จากผู้เชี่ยวชาญและองค์กรที่ผ่านการตรวจสอบ ให้กับ LLM และระบบการดึงข้อมูล เพื่อให้มีการระบุแหล่งที่มาที่แข็งแกร่งและต้านทานการปนเปื้อนได้มากขึ้น

หลักการออกแบบ

• ตัวตนและแหล่งที่มา: ข้อความรับรองถูกลงนามโดยบุคคล/องค์กรที่ได้รับการยืนยันโดยใช้เทคโนโลยีการเข้ารหัสกุญแจสาธารณะ.
• การจัดเก็บที่ตรวจสอบได้: การรับรองถูกยึดโยงกับบันทึกที่เพิ่มข้อมูลได้เท่านั้นและตรวจจับการปลอมแปลงได้ เพื่อให้สามารถตรวจสอบโดยอิสระได้
• การผสานการดึงข้อมูล: โพรเซส RAG สามารถให้ความสำคัญหรือกำหนดให้ใช้แหล่งข้อมูลที่ได้รับการรับรองเชิงคริปโตกราฟีสำหรับคำค้นที่มีความอ่อนไหว.
• ความยุ่งยากน้อยที่สุด: API และ SDK ช่วยให้ผู้เผยแพร่และแพลตฟอร์มสามารถออกและตรวจสอบการรับรองในขณะนำเข้าข้อมูล.

ชื่อเสียงและการแจ้งเตือน

นอกเหนือจากการรับรองแล้ว เลเยอร์ชื่อเสียงจะรวบรวมการรับรองที่ลงนามและทำเครื่องหมายผู้ละเมิดที่รู้จัก ระบบแจ้งเตือนจะแจ้งผู้ที่เป็นเป้าหมายเมื่อตรวจพบการโจมตีที่ประสานงานกันหรือการเพิ่มขึ้นที่ผิดปกติ ทำให้สามารถตอบสนองและร้องขอลบเนื้อหาได้เร็วขึ้น

ช่องทางด้านกฎหมายและแพลตฟอร์ม

• ใช้กระบวนการรายงานของแพลตฟอร์มพร้อมชุดหลักฐานที่ชัดเจน: ลิงก์, วันที่, ภาพหน้าจอ, และผลกระทบ อ้างอิงนโยบายเกี่ยวกับการหมิ่นประมาทและการคุกคาม
• ยกระดับด้วยหนังสือแจ้งอย่างเป็นทางการเมื่อเหมาะสม; เก็บบันทึกการติดต่อและรหัสตั๋วเป็นหลักฐานในเส้นทางพยานหลักฐานของคุณ.
• คำนึงถึงความแตกต่างของอำนาจศาลในคดีหมิ่นประมาทและความรับผิดชอบของแพลตฟอร์ม; ปรึกษาผู้เชี่ยวชาญด้านกฎหมายสำหรับกรณีที่มีความเสี่ยงสูง.

แผนงานการดำเนินการ (ปีที่ 1)

• MVP: แบบสคีมาแสดงการรับรองและ SDK สำหรับผู้เผยแพร่เพื่อเซ็นคำชี้แจงตัวตนและข้ออ้างเกี่ยวกับเหตุการณ์
• ทดลองใช้งานกับกลุ่มเล็กของผู้เชี่ยวชาญและองค์กรที่ผ่านการตรวจสอบ; จัดตั้งเวิร์กโฟลว์การยืนยันตัวตน
• ปลั๊กอิน RAG: เปิดโหมดตอบคำถามโดยอ้างอิงแหล่งที่มาก่อน ซึ่งให้ความสำคัญกับแหล่งที่ได้รับการรับรองสำหรับคำถามที่อ่อนไหว

การอ่านเพิ่มเติม (พร้อมวันที่)

• Nightshade - การวางพิษข้อมูลแบบเฉพาะเจาะจงสำหรับภาพ (2023-2024)
• PoisonGPT - การสาธิต LLM ที่มีแบ็กดอร์ (กรกฎาคม 2023)
• PoisonedRAG - การวางพิษฐานความรู้สำหรับ RAG (กุมภาพันธ์ 2024)
• OWASP Top 10 สำหรับแอปพลิเคชัน LLM (2023-2024)
• C2PA - ความพยายามด้านข้อมูลรับรองเนื้อหาและการยืนยันแหล่งที่มา (2023-2024)
• คำสาปของการวนซ้ำ: การฝึกด้วยข้อมูลที่สร้างขึ้น (พฤษภาคม 2023)

ความร่วมมือ

งานวิจัยนี้เป็นงานด้านแนวหน้าที่กำลังพัฒนาอย่างต่อเนื่อง Chad Scira ยินดีร่วมมือกับผู้เชี่ยวชาญท่านอื่นในภาคส่วนนี้

หากคุณสนใจร่วมมือ โปรดติดต่อที่: [email protected]