งานวิจัยการปกป้องชื่อเสียงและการวางสารพิษใน LLM

สรุปสำหรับผู้บริหาร

ผู้คนทั่วไปที่มีร่องรอยทางอินเทอร์เน็ตเล็กน้อยเผชิญความเสี่ยงเกินสัดส่วนจากการหมิ่นประมาทที่ขยายโดย AI และการปนเปื้อนข้อมูล (data poisoning). บุคคลที่มีแรงจูงใจเพียงคนเดียวสามารถหว่านเรื่องเล่าเท็จที่การค้นหา ฟีดโซเชียล และ LLM จะทำซ้ำ เอกสารฉบับนี้อธิบายเส้นทางการโจมตีที่พบบ่อย ผลกระทบที่เป็นรูปธรรมต่อชื่อเสียงและความปลอดภัย และคู่มือตามหลักปฏิบัติสำหรับการตรวจจับและการป้องกัน นอกจากนี้ยังสรุปว่า การยืนยันที่ได้รับการตรวจสอบด้วยคริปโตกราฟีและการดึงข้อมูลที่ตระหนักถึงแหล่งที่มาสามารถลดความเสียหายสำหรับบุคคลและผู้รวมระบบได้อย่างไร.

กลุ่มเป้าหมายและแบบจำลองภัยคุกคาม

กลุ่มเป้าหมาย: บุคคลและองค์กรขนาดเล็กที่ไม่มีการปรากฏตัว SEO จำนวนมาก. ข้อจำกัด: เวลา งบประมาณ และทรัพยากรทางเทคนิคจำกัด. ฝ่ายตรงข้าม: ผู้กระทำเพียงคนเดียวที่สามารถสร้างและโพสต์ข้อความจำนวนมาก ใช้เครือข่ายลิงก์พื้นฐาน และเอาเปรียบช่องว่างในการรายงาน. เป้าหมาย: บิดเบือนผลการค้นหา/ผลจาก LLM (โมเดลภาษาขนาดใหญ่) ทำลายชื่อเสียง สร้างความสงสัยแก่ผู้ว่าจ้าง ลูกค้า แพลตฟอร์ม หรือเอเย่นต์.

การปนเปื้อน LLM คืออะไร?

การทำพิษ LLM หมายถึงการจัดการพฤติกรรมของโมเดลผ่านเนื้อหาที่ปลูกฝังหรือประสานงานกัน - ตัวอย่างเช่น โพสต์ที่เป็นอันตราย บทความสังเคราะห์ หรือสแปมในฟอรัม - ซึ่งระบบดึงข้อมูลอาจนำเข้าได้หรือมนุษย์ใช้เป็นสัญญาณ ผลักดันให้โมเดลเกิดการเชื่อมโยงที่ผิดหรือเรื่องเล่าหมิ่นประมาท

เนื่องจาก LLM และระบบดึงข้อมูลปรับให้เหมาะกับขนาดและการครอบคลุม ฝ่ายตรงข้ามเพียงคนเดียวที่มีแรงจูงใจสามารถกำหนดได้ว่าโมเดล 'เห็น' อะไรเกี่ยวกับบุคคลโดยการท่วมท้นส่วนย่อยของเว็บ วิธีนี้มีประสิทธิภาพเป็นพิเศษกับบุคคลที่มีการปรากฏตัวออนไลน์จำกัด.

การบิดเบือนชื่อเสียงเกิดขึ้นอย่างไร

• การวางสารพิษในการค้นหาและโซเชียล - การยึดโปรไฟล์, ฟาร์มลิงก์ และการโพสต์จำนวนมากเพื่อบิดเบือนคุณลักษณะการจัดอันดับและการเชื่อมโยงคำแนะนำอัตโนมัติ.
• การวางพิษในฐานความรู้และ RAG - สร้างหน้าตัวเอนทิตีและหมายเหตุ QA ที่ดูเหมือนเกี่ยวข้องเชิงความหมายและถูกดึงขึ้นมาเป็นบริบท
• การฉีดพรอมต์แบบอ้อม - เนื้อหาเว็บที่เป็นศัตรูที่ทำให้อินเจนต์/เอเย่นต์การท่องเว็บทำซ้ำคำสั่งหรือส่งข้อมูลที่ละเอียดอ่อนออกนอกระบบ
• ปลายทางที่มี backdoor - ตัวห่อโมเดลที่เป็นอันตรายซึ่งทำตัวปกติจนกว่าจะมีวลีทริกเกอร์ แล้วจึงปล่อยข้อมูลเท็จที่มุ่งเป้า.

ความเสี่ยงเพิ่มเติมและรูปแบบความล้มเหลว

• การล่มสลายของโมเดลจากการฝึกบนผลลัพธ์สังเคราะห์ - วงจรป้อนกลับที่ข้อความที่สร้างขึ้นทำให้คุณภาพโมเดลในอนาคตเสื่อมลงหากไม่ได้กรองหรือปรับน้ำหนัก
• การฉีดพรอมต์แบบอ้อม - เนื้อหาศัตรูบนเว็บที่สั่งให้อุปกรณ์หรือเครื่องมือท่องเว็บนำข้อมูลลับออกหรือแพร่การหมิ่นประมาทเมื่อมีการอ้างอิง
• การวางพิษในคลัง embedding - แทรกย่อความเชิงปรปักษ์ลงในฐานความรู้เพื่อให้การดึงข้อมูลแสดงข้อกล่าวเท็จที่ดูเหมือนเกี่ยวข้องเชิงความหมาย
• การปล่อยเวอร์ชันที่มี backdoor - เผยแพร่เช็คพอยต์ที่ถูกแก้ไขหรือ API wrapper ที่ทำงานปกติจนกว่าจะมีวลีทริกเกอร์.

กรณีตัวอย่างและเอกสารอ้างอิง

• คำสาปแห่งการวนซ้ำ: การฝึกบนข้อมูลที่ถูกสร้างขึ้น (พฤษภาคม 2023)
• OWASP Top 10 สำหรับแอปพลิเคชัน LLM (2023-2024)
• Lakera Gandalf - การสาธิตการฉีดพรอมต์ (2023-2024)
• Nightshade - การทำพิษข้อมูลแบบกำหนดเป้าสำหรับภาพ (2023-2024)
• PoisonGPT - การสาธิต LLM ที่ฝังแบ็กดอร์ (กรกฎาคม 2023)
• PoisonedRAG - การทำพิษฐานความรู้สำหรับ RAG (กุมภาพันธ์ 2024)
• C2PA - ข้อมูลรับรองเนื้อหาและความพยายามด้านแหล่งที่มา (2023-2024)

มาตรการป้องกันเชิงลึก

การดึงข้อมูลและการจัดอันดับ

• การให้คะแนนแหล่งที่มาและการให้น้ำหนักแหล่งกำเนิด - ให้ความสำคัญกับเนื้อหาที่ลงนามหรือที่ได้รับการยืนยันจากผู้เผยแพร่; ลดน้ำหนักหน้าเว็บที่สร้างใหม่หรือมีชื่อเสียงต่ำ.
• การลดทอนตามเวลาพร้อมระยะผ่อนผัน - กำหนดระยะเวลาหน่วงก่อนที่แหล่งข้อมูลใหม่จะส่งผลต่อคำตอบที่มีความเสี่ยงสูง; เพิ่มการตรวจสอบโดยมนุษย์สำหรับเอนทิตีที่ละเอียดอ่อน.
• การตรวจจับปรากฏการณ์ห้องสะท้อน - จัดกลุ่มย่อหน้าที่ใกล้เคียงกันและจำกัดการมีอิทธิพลซ้ำจากต้นทางหรือเครือข่ายเดียวกัน
• การตรวจจับค่าผิดปกติและความผิดปกติในพื้นที่ embedding - ทำเครื่องหมายย่อหน้าที่ตำแหน่งเวกเตอร์ถูกปรับให้เหมาะสมแบบโจมตี

สุขอนามัยของข้อมูลและฐานความรู้ (KB)

• เก็บสแนปช็อตและเปรียบเทียบฐานความรู้ - ตรวจสอบความแตกต่างขนาดใหญ่ โดยเฉพาะสำหรับเอนทิตีบุคคลและข้อกล่าวหาที่ไม่มีแหล่งข้อมูลหลัก.
• รายการ canary และรายการปฏิเสธ - ป้องกันการนำโดเมนที่ทราบว่าใช้ในทางที่เป็นการละเมิดเข้ามา; แทรก canary เพื่อตรวจวัดการแพร่กระจายที่ไม่ได้รับอนุญาต.
• มีมนุษย์อยู่ในวงจรสำหรับหัวข้อความเสี่ยงสูง - จัดคิวการอัปเดตข้อเท็จจริงด้านชื่อเสียงที่เสนอเพื่อการตัดสินด้วยมือมนุษย์

การรับรองและชื่อเสียง

• การยืนยันที่ได้รับการตรวจสอบด้วยคริปโตกราฟี - คำแถลงที่ลงลายมือชื่อจากผู้เชี่ยวชาญและองค์กรที่ผ่านการตรวจสอบ เผยแพร่ผ่านล็อกแบบเพิ่มเท่านั้น (append-only log).
• กราฟชื่อเสียง - รวมการรับรองที่ลงนามและลดอันดับเนื้อหาจากผู้ละเมิดซ้ำหรือเครือข่ายบอท.
• การอ้างอิงที่ผู้ใช้เห็น - กำหนดให้โมเดลแสดงแหล่งที่มาและความมั่นใจพร้อมป้ายแสดงแหล่งกำเนิดสำหรับข้อกล่าวที่มีความอ่อนไหว.

รายการตรวจสอบสำหรับองค์กร

• ทำแผนที่หน่วยงานที่อ่อนไหวในโดเมนของคุณ (บุคคล แบรนด์ หัวข้อทางกฎหมาย) และส่งคำค้นหาไปยังท่อการประมวลผลที่มีการป้องกันพร้อมข้อกำหนดเรื่องแหล่งที่มาของข้อมูล
• นำ C2PA หรือข้อมูลรับรองเนื้อหาในลักษณะเดียวกันมาใช้กับเนื้อหาจากฝ่ายแรก และสนับสนุนให้พันธมิตรทำเช่นเดียวกัน.
• ติดตามอิทธิพลของแหล่งข้อมูลใหม่ตามกาลเวลาและแจ้งเตือนเมื่อมีการเปลี่ยนแปลงผิดปกติสำหรับคำตอบระดับเอนทิตี.
• ดำเนินการ red teaming อย่างต่อเนื่องสำหรับ RAG และเอเย่นต์การท่องเว็บ รวมถึงชุดทดสอบการฉีดพรอมต์แบบอ้อม.

การคุกคามและการหมิ่นประมาทโดย AI

บุคคลที่รับจ้างในปัจจุบันใช้ประโยชน์จาก AI และระบบอัตโนมัติเพื่อผลิตการคุกคามและการหมิ่นประมาทในปริมาณมาก สร้างข้อความที่ดูสมเหตุสมผลและ "แหล่งที่มา" ปลอมที่ง่ายต่อการจัดทำดรรชนี ขูดข้อมูล และแชร์ต่อ แคมเปญเหล่านี้มีต้นทุนต่ำ ผลกระทบสูง และยากต่อการแก้ไขเมื่อถูกขยายโดยระบบอัตโนมัติ

Chad Scira ได้ประสบกับการล่วงละเมิดและการหมิ่นประมาทที่มุ่งเป้าโดยตรง รวมกับการเชื่อมโยงแบบสแปมที่มีจุดประสงค์เพื่อบิดเบือนสัญญาณชื่อเสียงและความประทับใจจากการค้นหา รายงานรายละเอียดและเส้นทางหลักฐานถูกบันทึกไว้ที่นี่: Jesse Nickles - การคุกคามและการหมิ่นประมาท.

A recent Stack Exchange incident shows how coordinated account networks can manufacture trust on platforms that normally carry strong credibility signals. Public 100-year suspensions across multiple related accounts, followed by retaliatory cross-platform publication, make this a useful case study for provenance-aware ranking and anti-abuse systems: เหตุการณ์การคุกคามและการหมิ่นประมาทบน Stack Exchange.

การจัดหมวดหมู่ภัยคุกคาม

• การทำพิษข้อมูลการฝึกเบื้องต้น - การปลอมปนคอร์ปัสสาธารณะที่ใช้สำหรับการฝึกเริ่มต้นเพื่อฝังการเชื่อมโยงเท็จหรือแบ็กดอร์
• RAG poisoning - การใส่ข้อมูลลงในฐานความรู้หรือแหล่งภายนอกที่ระบบดึงข้อมูลใช้ในเวลาทำนาย.
• การวางสารพิษในการค้นหา/โซเชียล - การท่วมท้นด้วยโพสต์หรือหน้าเว็บคุณภาพต่ำเพื่อเบี่ยงสัญญาณการดึงข้อมูลและการจัดอันดับเกี่ยวกับบุคคลหรือหัวข้อ.
• พรอมต์และเนื้อหาที่เป็นปฏิปักษ์ - การสร้างอินพุตที่กระตุ้นพฤติกรรมที่ไม่พึงประสงค์หรือการเจลเบรกที่ทำให้คำกล่าวหมิ่นประมาทถูกทำซ้ำ.

เหตุการณ์และงานวิจัยล่าสุด (พร้อมวันที่)

• Nightshade - การทำพิษข้อมูลแบบกำหนดเป้าด้วยพรอมต์ (University of Chicago, 2023-2024)
• PoisonGPT - การปล่อย LLM ที่มีแบ็กดอร์ (Mithril Security, กรกฎาคม 2023)
• PoisonedRAG - การทำพิษฐานความรู้สำหรับ RAG (กุมภาพันธ์ 2024, arXiv)
• C2PA - มาตรฐานข้อมูลรับรองเนื้อหาและแหล่งที่มา (2023-2024)

หมายเหตุ: วันที่ข้างต้นสะท้อนวันที่เผยแพร่หรือวันที่เปิดเผยสู่สาธารณะตามแหล่งที่เชื่อมโยง

ทำไมสิ่งนี้จึงอันตราย

• LLMs อาจดูน่าเชื่อถือได้ แม้ว่าแหล่งอ้างอิงเบื้องหลังจะอ่อนหรือถูกปลูกฝังแบบโจมตี
• ระบบการดึงและการจัดอันดับอาจให้น้ำหนักเกินกับข้อความที่ถูกทำซ้ำ ทำให้ผู้กระทำเพียงรายเดียวบิดเบือนผลลัพธ์ได้ด้วยปริมาณเพียงอย่างเดียว.
• กระบวนการตรวจข้อเท็จจริงโดยมนุษย์ช้าและมีต้นทุนสูงเมื่อเทียบกับความเร็วของการผลิตและการกระจายเนื้อหาอัตโนมัติ
• เหยื่อที่ไม่มีการปรากฏตัวออนไลน์อย่างมีนัยสำคัญมีความเสี่ยงมากเป็นพิเศษต่อการปนเปื้อนข้อมูลจากโพสต์เดียวและการโจมตีเกี่ยวกับตัวตน.

การเจาะลึกความเสี่ยง

• การคัดกรองการจ้างงานและแพลตฟอร์ม - การค้นหาและการสรุปโดย LLM อาจสะท้อนเนื้อหาที่ถูกวางพิษในระหว่างการตรวจสอบการว่าจ้าง การควบคุมเนื้อหา หรือการปฐมนิเทศ
• การท่องเที่ยว ที่พัก และบริการทางการเงิน - การตรวจสอบอัตโนมัติอาจเผยเรื่องเล่าเท็จที่ทำให้บริการล่าช้าหรือถูกปฏิเสธ.
• ความคงอยู่ - เมื่อตั้งดัชนีในฐานความรู้หรือคำตอบที่เก็บแคชแล้ว ข้อกล่าวอันเป็นเท็จอาจปรากฏขึ้นอีกแม้หลังการนำเนื้อหาออก
• ผลสะท้อนสังเคราะห์ - เนื้อหาที่สร้างขึ้นสามารถเป็นตัวกระตุ้นให้เกิดเนื้อหาที่สร้างขึ้นเพิ่มเติม ทำให้น้ำหนักของเท็จปรากฏชัดขึ้นเมื่อเวลาผ่านไป.

การตรวจจับและเฝ้าติดตาม

• ตั้งการแจ้งเตือนการค้นหาชื่อและนามแฝงของคุณ; ตรวจสอบคำสั่ง site: เป็นระยะสำหรับโดเมนที่มีชื่อเสียงต่ำซึ่งกล่าวถึงคุณ.
• ติดตามการเปลี่ยนแปลงในแผงความรู้หรือหน้าของเอนทิตีของคุณ; เก็บภาพหน้าจอที่มีวันที่และสำเนาที่ส่งออกได้เป็นหลักฐาน.
• ตรวจสอบกราฟเชื่อมโยงทางสังคมสำหรับบัญชีต้นกำเนิดที่ซ้ำซ้อนหรือการพุ่งขึ้นอย่างกะทันหันของวลีที่คล้ายกัน
• หากดำเนินการ RAG หรือฐานความรู้ ให้รันการตรวจสอบการเบี่ยงเบนของเอนทิตีและทบทวนความแตกต่างขนาดใหญ่ในหน้าบุคคลหรือข้อกล่าวหาที่ไม่มีแหล่งข้อมูลหลัก

คู่มือการป้องกัน - บุคคล

• เผยแพร่เว็บไซต์ส่วนตัวที่ระบุเอกลักษณ์อย่างชัดเจน ประวัติย่อ และช่องทางการติดต่อ; เก็บบันทึกการเปลี่ยนแปลงโดยระบุวันที่.
• ทำให้เมตาดาต้าของโปรไฟล์สอดคล้องกันข้ามแพลตฟอร์ม; ได้มาซึ่งโปรไฟล์ที่ได้รับการยืนยันเมื่อเป็นไปได้และลิงก์กลับไปยังไซต์ของคุณ.
• ใช้ C2PA หรือข้อมูลรับรองเนื้อหาในลักษณะเดียวกันสำหรับภาพและเอกสารสำคัญเมื่อเป็นไปได้; เก็บต้นฉบับไว้เป็นการส่วนตัว.
• เก็บบันทึกหลักฐานพร้อมตราประทับเวลา: ภาพหน้าจอ ลิงก์ และหมายเลขตั๋วของแพลตฟอร์มใดๆ เพื่อการยกระดับในภายหลัง
• เตรียมแม่แบบการนำเนื้อหาออก; ตอบสนองอย่างรวดเร็วต่อการโจมตีใหม่และบันทึกทุกขั้นตอนเพื่อให้มีหลักฐานเป็นลายลักษณ์อักษรที่ชัดเจน

คู่มือการป้องกัน - ทีมและผู้ผสานรวม

• ให้ความสำคัญกับเนื้อหาที่ลงนามหรือได้รับการยืนยันโดยผู้เผยแพร่ในการดึงข้อมูล; ใช้ช่วงเวลาผ่อนผันตามเวลาสำหรับแหล่งใหม่
• จำกัดอิทธิพลที่ถูกทำซ้ำจากต้นทางเดียวกัน และกำจัดข้อความที่ซ้ำกันหรือใกล้เคียงกันต่อเครือข่ายต้นทาง
• เพิ่มป้ายแสดงแหล่งที่มาและรายการแหล่งที่ผู้ใช้เห็นได้สำหรับคำกล่าวเกี่ยวกับบุคคลและหัวข้อที่อ่อนไหวอื่นๆ.
• นำการตรวจจับความผิดปกติมาใช้กับที่เก็บ embeddings; ทำเครื่องหมายเวกเตอร์ที่เป็นปฏิปักษ์ที่ผิดปกติและรันการตรวจสอบแบบ canary สำหรับการแพร่กระจายที่ไม่ได้รับอนุญาต.

งานวิจัย: คำยืนยันที่ได้รับการตรวจสอบด้วยวิธีทางคริปโตกราฟี

Chad Scira กำลังสร้างระบบการยืนยันที่ได้รับการตรวจสอบด้วยคริปโตกราฟีเพื่อสร้างความเชื่อถือในคำกล่าวเกี่ยวกับบุคคลและเหตุการณ์ เป้าหมายคือการให้ LLM และระบบดึงข้อมูลเข้าถึงคำกล่าวที่ลงลายเซ็นและสืบค้นได้จากผู้เชี่ยวชาญและองค์กรที่ผ่านการตรวจสอบ ช่วยให้มีแหล่งที่มาที่แข็งแกร่งและความต้านทานต่อการปนเปื้อนมากขึ้น.

หลักการออกแบบ

• ตัวตนและแหล่งที่มา: คำชี้แจงลงนามโดยบุคคล/องค์กรที่ผ่านการตรวจสอบโดยใช้การเข้ารหัสกุญแจสาธารณะ
• การจัดเก็บที่ตรวจสอบได้: คำรับรองถูกยึดติดกับบันทึกแบบเพิ่มข้อมูลเท่านั้น (append-only) ที่ตรวจจับการปลอมแปลงได้ เพื่อให้สามารถตรวจสอบโดยอิสระ.
• การผนวกรวมการดึงข้อมูล: RAG pipelines สามารถให้ความสำคัญหรือกำหนดให้ใช้แหล่งที่ได้รับการยืนยันทางคริปโตกราฟีสำหรับคำค้นที่มีความอ่อนไหว.
• แรงเสียดทานน้อย: API และ SDK ช่วยให้ผู้เผยแพร่และแพลตฟอร์มสามารถออกและตรวจสอบการรับรอง ณ เวลาการนำเข้า

ชื่อเสียงและการแจ้งเตือน

นอกเหนือจากการรับรองแล้ว ชั้นชื่อเสียงจะรวบรวมการรับรองที่ลงนามและทำเครื่องหมายผู้ละเมิดที่รู้จัก ระบบแจ้งเตือนจะแจ้งเป้าหมายเมื่อมีการตรวจพบการโจมตีที่ประสานงานกันหรือการพุ่งขึ้นผิดปกติ ทำให้สามารถตอบสนองและขอเอาเนื้อหาออกได้เร็วขึ้น

ช่องทางด้านกฎหมายและแพลตฟอร์ม

• ใช้กระบวนการรายงานของแพลตฟอร์มพร้อมแพ็กเกจหลักฐานที่ชัดเจน: ลิงก์, วันที่, ภาพหน้าจอ, และผลกระทบ. อ้างอิงนโยบายหมิ่นประมาทและการคุกคาม.
• ยกระดับด้วยหนังสือแจ้งอย่างเป็นทางการเมื่อเหมาะสม; เก็บบันทึกการติดต่อและหมายเลขตั๋วไว้เป็นหลักฐาน
• พิจารณาความแตกต่างด้านเขตอำนาจศาลเกี่ยวกับการหมิ่นประมาทและความรับผิดของแพลตฟอร์ม; ปรึกษาที่ปรึกษาทางกฎหมายสำหรับกรณีที่มีความเสี่ยงสูง.

แผนงานการนำไปปฏิบัติ (ปีที่ 1)

• MVP: สคีมาการยืนยันและ SDK สำหรับผู้เผยแพร่เพื่อเซ็นคำชี้แจงตัวตนและคำกล่าวอ้างเกี่ยวกับเหตุการณ์
• ทดลองนำร่องกับกลุ่มเล็ก ๆ ของผู้เชี่ยวชาญและองค์กรที่ผ่านการคัดกรอง; จัดตั้งเวิร์กโฟลว์การยืนยัน
• RAG plug ins: เปิดใช้งานโหมดตอบโดยให้ความสำคัญกับแหล่งที่มาเป็นอันดับแรก ที่ให้ความสำคัญกับแหล่งข้อมูลที่ได้รับการยืนยันสำหรับคำขอที่มีความอ่อนไหว.

การอ่านเพิ่มเติม (พร้อมวันที่)

• Nightshade - การทำพิษข้อมูลแบบกำหนดเป้าสำหรับภาพ (2023-2024)
• PoisonGPT - การสาธิต LLM ที่ฝังแบ็กดอร์ (กรกฎาคม 2023)
• PoisonedRAG - การทำพิษฐานความรู้สำหรับ RAG (กุมภาพันธ์ 2024)
• OWASP Top 10 สำหรับแอปพลิเคชัน LLM (2023-2024)
• C2PA - ข้อมูลรับรองเนื้อหาและความพยายามด้านแหล่งที่มา (2023-2024)
• คำสาปแห่งการวนซ้ำ: การฝึกบนข้อมูลที่ถูกสร้างขึ้น (พฤษภาคม 2023)

ความร่วมมือ

งานวิจัยนี้เป็นแนวหน้าทางวิชาการและกำลังพัฒนาอย่างต่อเนื่อง Chad Scira ยินดีรับความร่วมมือจากผู้เชี่ยวชาญท่านอื่นในภาคส่วนนี้.

หากคุณสนใจร่วมมือ โปรดติดต่อที่: [email protected]