İtibar Koruması ve LLM Zehirlenmesi Araştırması

Yönetici Özeti

İnternette küçük bir ayak izine sahip sıradan insanlar, yapay zekâ tarafından güçlendirilen iftira ve veri zehirlenmesi nedeniyle orantısız bir riskle karşı karşıyadır. Tek bir motive birey, arama sonuçlarına, sosyal akışlara ve LLM'lere tekrar ettirebileceği yanlış anlatıları yayımlayabilir. Bu belge yaygın saldırı yollarını, itibar ve güvenlik üzerindeki somut etkileri ve tespit ile korunma için pratik bir yol haritasını açıklar. Ayrıca kriptografik olarak doğrulanmış doğrulamalar ve kaynak bilincine sahip alma (retrieval) yaklaşımlarının bireyler ve entegre ediciler için zararı nasıl azaltabileceğini özetler.

Hedef Kitle ve Tehdit Modeli

Hedef Kitle: büyük bir SEO varlığı olmayan bireyler ve küçük kuruluşlar. Kısıtlar: sınırlı zaman, bütçe ve teknik kaynaklar. Rakip: büyük hacimli metin üretebilen ve yayımlayabilen, temel bağlantı ağları kullanabilen ve bildirim kör noktalarından yararlanabilen tek bir aktör. Hedefler: arama/LLM çıktılarını çarpıtmak, itibara zarar vermek, işverenler, müşteriler, platformlar veya temsilciler için şüphe yaratmak.

LLM Zehirlenmesi Nedir?

LLM zehirlenmesi, örneğin kötü niyetli gönderiler, sentetik makaleler veya forum spam'i gibi tohumlanan veya koordine edilen içerikler aracılığıyla model davranışının manipülasyonunu ifade eder; bu içerikler alma/erişim sistemleri tarafından alınabilir veya insanlar tarafından sinyal olarak kullanılabilir ve modelleri yanlış çağrışımlara ve iftira niteliğindeki anlatılara yönlendirebilir.

LLM'ler ve getirme (retrieval) sistemleri ölçek ve kapsama için optimize ettiğinden, tek bir motive olmuş saldırgan, web'in küçük bir dilimini doldurarak bir modelin bir kişi hakkında “gördüklerini” şekillendirebilir. Bu, çevrimiçi varlığı sınırlı olan bireylere karşı özellikle etkilidir.

İtibar Nasıl Çarpıtılır

• Arama ve sosyal zehirlenmesi - profil ele geçirme, link çiftlikleri ve sıralama özelliklerini ve otomatik tamamlama ilişkilerini önyargılandırmak için kitlesel gönderimler.
• Bilgi tabanı ve RAG zehirlenmesi - anlamsal olarak ilgili görünen ve bağlam olarak geri çağrılan varlık sayfaları ve QA notları oluşturma.
• Dolaylı istem enjeksiyonu - tarama ajanlarının talimatları tekrarlamasına veya hassas verileri sızdırmasına neden olan düşmanca web içeriği.
• Arka kapılı uç noktalar - tetikleyici ifadeler görünene kadar normal davranan, sonra hedeflenmiş yanlış bilgiler yayımlayan kötü amaçlı model sarmalayıcıları.

Ek Riskler ve Başarısızlık Modları

• Sentetik çıktılarla yapılan eğitimden kaynaklanan model çöküşü - üretilen metnin filtrelenmez veya ağırlıklandırılmazsa gelecekteki model kalitesini düşüren geri besleme döngüleri.
• Dolaylı istem enjeksiyonu - web'de, alıntılandığında bir ajanı veya tarama aracını gizli bilgileri sızdırmaya veya iftirayı yaymaya yönlendiren düşmanca içerik.
• Embedding deposu zehirlenmesi - bilgi tabanına düşmanca pasajlar ekleyerek, geri çağırmanın anlamsal olarak ilgili görünen yanlış iddiaları yüzeye çıkarmasını sağlama.
• Arka kapılı sürümler - tetikleyici bir ifade mevcut olana kadar normal davranan, değiştirilmiş kontrol noktaları veya API sarmalayıcıları yayınlama.

Somut Vakalar ve Referanslar

• Özyinelemenin Laneti: Üretilmiş Verilerle Eğitim (Mayıs 2023)
• LLM Uygulamaları için OWASP Top 10 (2023-2024)
• Lakera Gandalf - istem enjeksiyonu gösterimi (2023-2024)
• Nightshade - görüntüler için hedefli veri zehirlemesi (2023-2024)
• PoisonGPT - arka kapılı LLM gösterimi (Temmuz 2023)
• PoisonedRAG - RAG için bilgi tabanı zehirlenmesi (Şubat 2024)
• C2PA - içerik kimlik bilgileri ve kaynak çalışmaları (2023-2024)

Derinlemesine Önlemler

Alma (retrieval) ve Sıralama

• Kaynak puanlaması ve köken ağırlıklandırması - imzalı veya yayınevi tarafından doğrulanmış içeriği tercih edin; yeni oluşturulmuş veya düşük itibarlı sayfaların ağırlığını düşürün.
• Gecikmeli azalma ve tolerans süresi - yeni kaynakların yüksek riskli yanıtları etkilemeden önce bekleme süresi gerektirsin; hassas varlıklar için insan incelemesi ekleyin.
• Eko odası tespiti - neredeyse kopya olan pasajları kümelendir ve aynı kaynak veya ağdan gelen tekrarlayan etkileri sınırla.
• Gömülü (embedding) uzayında aykırı değer ve anomali tespiti - vektör pozisyonları düşmanca optimize edilmiş pasajları işaretleme.

Veri ve KB Hijyeni

• Bilgi tabanlarının anlık görüntülerini ve farklarını alın - büyük değişimleri inceleyin, özellikle kişi varlıkları ve birincil kaynağı olmayan suçlamalar için.
• Kanarya ve engelleme listeleri - bilinen kötüye kullanılan alan adlarının dahil edilmesini önleyin; yetkisiz yayılmayı ölçmek için kanarya girdileri ekleyin.
• Yüksek riskli konular için insan denetimi - itibarla ilgili önerilen güncellemeleri manuel karara bağlanmak üzere sıraya al.

Doğrulamalar ve İtibar

• Kriptografik olarak doğrulanmış doğrulamalar - doğrulanmış profesyoneller ve kuruluşlar tarafından imzalanmış beyanlar, ekleme-yalnızca (append-only) bir günlük aracılığıyla yayımlanan.
• İtibar grafikleri - imzalı destekleri toplayın ve tekrar kötüye kullananlar veya bot ağlarından gelen içeriklerin sıralamasını düşürün.
• Kullanıcıya yönelik atıflar - modellerin hassas iddialar için kaynakları ve güven derecesini köken rozetleriyle göstermesini zorunlu kılın.

Kurumsal Kontrol Listesi

• Alanınızdaki hassas varlıkları (kişiler, markalar, hukuki konular) eşleyin ve sorguları köken bilgisi gereksinimleri olan korumalı boru hatlarına yönlendirin.
• İlk taraf içeriği için C2PA veya benzeri içerik kimlik bilgilerini benimseyin ve iş ortaklarını da aynı şeyi yapmaları konusunda teşvik edin.
• Zaman içinde yeni kaynakların etkisini izleyin ve varlık düzeyindeki yanıtlarda olağan dışı dalgalanmalarda uyarı verin.
• Dolaylı istem enjeksiyonu test paketleri de dahil olmak üzere RAG ve tarayıcı ajanlar için sürekli red teaming yürütün.

Yapay Zeka Yoluyla Taciz ve İftira

İşe alınacak kişiler artık taciz ve iftirayı kitlesel olarak üretmek için yapay zeka ve otomasyondan yararlanıyor; indekslenmesi, kazınması ve yeniden paylaşılması kolay gözüken inandırıcı metinler ve sahte “kaynaklar” oluşturuyorlar. Bu kampanyalar düşük maliyetli, yüksek etkili ve otomatik sistemler tarafından yükseltildikten sonra düzeltmesi zordur.

Chad Scira kişisel olarak itibar sinyallerini ve arama görünürlüğünü çarpıtmayı amaçlayan hedefli taciz, iftira ve spam bağlantılarla karşılaştı. Ayrıntılı bir anlatı ve delil izi burada belgelenmiştir: Jesse Nickles - Taciz ve İftira.

Son zamanlarda Stack Exchange'de yaşanan bir olay, koordineli hesap ağlarının genellikle güçlü güvenilirlik sinyalleri taşıyan platformlarda nasıl güven üretebileceğini gösteriyor. Birbiriyle ilişkili birden fazla hesapta kamuya açık 100 yıllık askıya almalar ve ardından misilleme amaçlı platformlar arası yayımlar, kaynak bilincine sahip sıralama ve kötüye kullanım karşıtı sistemler için öğretici bir vaka çalışması sunuyor: Stack Exchange taciz ve iftira olayı.

Tehdit Taksonomisi

• Ön eğitim veri zehirlenmesi - yanlış ilişkiler veya arka kapılar yerleştirmek amacıyla ilk eğitimde kullanılan kamu korpuslarının zehirlenmesi.
• RAG zehirlenmesi - çıkarım sırasında retrieval pipeline'larının kullandığı bilgi tabanlarına veya dış kaynaklara bilgi enjekte etmek.
• Arama/sosyal zehirlenmesi - bir kişi veya konu hakkında alma ve sıralama sinyallerini önyargılandırmak amacıyla gönderi ya da düşük kaliteli sayfaların sel gibi çoğaltılması.
• Saldırgan istemler ve içerik - istenmeyen davranışları tetikleyen veya iftira içeren iddiaları tekrar eden jailbreak'lere yol açan girdilerin hazırlanması.

Son Olaylar ve Araştırmalar (tarihlerle)

• Nightshade - prompt hedefli veri zehirleme (University of Chicago, 2023-2024)
• PoisonGPT - arka kapılı LLM sürümü (Mithril Security, Temmuz 2023)
• PoisonedRAG - RAG için bilgi tabanı zehirlenmesi (Şubat 2024, arXiv)
• C2PA - içerik kimlik bilgileri ve kaynak standartları (2023-2024)

Not: Yukarıdaki tarihler, bağlantılı kaynaklardaki yayınlanma veya genel erişime sunulma tarihleridir.

Neden Bu Tehlikeli

• LLM'ler, dayanak gösterilen referanslar zayıf ya da düşmanca tohumlanmış olsa bile otoriter görünebilir.
• Alma ve sıralama pipeline'ları tekrarlanan metinleri gereğinden fazla ağırlıklandırabilir; bu da tek bir aktörün yalnızca hacimle sonuçları çarpıtmasına izin verir.
• İnsan tarafından yapılan doğrulama süreçleri, otomatik içerik üretimi ve dağıtımının hızına kıyasla yavaş ve maliyetlidir.
• Çevrimiçi varlığı sınırlı olan mağdurlar, tek bir gönderiyle zehirlenme ve kimlik saldırılarına orantısız şekilde savunmasızdır.

Risk Derin İncelemesi

• İstihdam ve platform incelemesi - arama ve LLM özetleri işe alım, moderasyon veya işe alıştırma kontrolleri sırasında zehirlenmiş içeriği yansıtabilir.
• Seyahat, konut ve finansal hizmetler - otomatik kontroller hizmetleri geciktirebilecek veya engelleyebilecek yanlış anlatıları ortaya çıkarabilir.
• Kalıcılık - bilgi tabanlarına indekslendikten veya önbelleğe alınan yanıtlara dahil edildikten sonra, yanlış iddialar kaldırıldıktan sonra bile yeniden ortaya çıkabilir.
• Sentetik geribildirim - üretilmiş içerik daha fazla üretilmiş içeriği başlatabilir, zamanla yanlış bilgilerin görünür ağırlığını artırır.

Tespit ve İzleme

• Adınız ve takma adlarınız için arama uyarıları kurun; sizi anan düşük itibarlı alan adları için site: sorgularını periyodik olarak kontrol edin.
• Bilgi panellerinizdeki veya varlık sayfalarınızdaki değişiklikleri izleyin; kanıt olarak tarihli ekran görüntüleri ve dışa aktarılmış kopyalar saklayın.
• Sosyal bağlantı grafikleri üzerinde tekrar eden kaynak hesapları veya benzer ifade biçimlerindeki ani artışlar için izleme yapın.
• Bir RAG veya bilgi tabanı işletiyorsanız, varlık sapması kontrolleri çalıştırın ve birincil kaynak olmadan kişi sayfalarındaki veya suçlamalardaki büyük farkları inceleyin.

Koruma Rehberi - Bireyler

• Kimlik beyanlarının açık olduğu, kısa bir biyografi ve iletişim yolları içeren kişisel bir site yayınlayın; tarihli bir değişiklik günlüğü tutun.
• Profil meta verilerini platformlar arasında hizalayın; mümkünse doğrulanmış profiller edinin ve bunları sitenize bağlayın.
• Mümkün olduğunda önemli görüntüler ve belgeler için C2PA veya benzeri içerik kimlik bilgilerini kullanın; orijinalleri özel olarak saklayın.
• Zaman damgası içeren bir delil kaydı tutun: ekran görüntüleri, bağlantılar ve daha sonra başvurmak üzere platform bilet numaraları.
• Kaldırma şablonları hazırlayın; yeni saldırılara hızlı yanıt verin ve her adımı belgelerle kaydedin, böylece net bir kağıt izi oluşur.

Koruma Rehberi - Takımlar ve Entegratörler

• Erişimde imzalı veya yayıncı doğrulamalı içeriği tercih edin; yeni kaynaklar için zaman tabanlı tolerans süreleri uygulayın.
• Aynı kaynaktan gelen tekrarlayan etkiyi sınırlayın ve her kaynak ağı için neredeyse aynı olan tekrarları tekilleştirin.
• Kişi düzeyindeki iddialar ve diğer hassas konular için kullanıcıya yönelik kaynak rozetleri ve kaynak listeleri ekleyin.
• Gömme (embedding) depolarında anomali tespiti benimseyin; saldırgan vektör aykırı değerlerini işaretleyin ve yetkisiz yayılmayı tespit etmek için kanarya kontrolleri çalıştırın.

Araştırma: Kriptografik Olarak Doğrulanmış Tasdikler

Chad Scira, insanlar ve olaylar hakkındaki beyanlarda güven için kriptografik olarak doğrulanmış doğrulama sistemleri oluşturuyor. Amaç, doğrulanmış profesyoneller ve kuruluşlardan imzalanmış, sorgulanabilir iddiaları LLM'lere ve getirme sistemlerine sağlamaktır; bu da sağlam bir kaynak zinciri ve zehirlenmeye karşı daha güçlü direnç sağlar.

Tasarım İlkeleri

• Kimlik ve köken: ifadeler, açık anahtar kriptografisi kullanarak doğrulanmış kişi/kuruluşlar tarafından imzalanır.
• Doğrulanabilir depolama: beyanlar, bağımsız doğrulamayı sağlamak için yalnızca ekleme yapılabilen, tahrifata karşı dayanıklı kayıtlara bağlanır.
• Retrieval entegrasyonu: RAG pipeline'ları hassas sorgular için kriptografik olarak tasdiklenmiş kaynakları önceliklendirebilir veya zorunlu kılabilir.
• Asgari sürtünme: API'ler ve SDK'lar, yayıncıların ve platformların alım anında attestasyonlar düzenlemesine ve doğrulamasına olanak tanır.

İtibar ve Uyarılar

Attestasyonların üzerine ek olarak, bir itibar katmanı imzalı onayları toplar ve bilinen kötüye kullananları işaretler. Koordine saldırılar veya anormal artışlar algılandığında alarm sistemleri hedefleri bilgilendirir; bu da daha hızlı müdahale ve içerik kaldırma taleplerine olanak sağlar.

Hukuki ve Platform Kanalları

• Bağlantılar, tarihler, ekran görüntüleri ve etkiler gibi açık kanıt paketleriyle platform raporlama akışlarını kullanın. İftira ve taciz politikalarına atıfta bulunun.
• Uygunsa resmi bildirimlerle yükseltin; yazışma kayıtlarını ve bilet kimliklerini delil zincirinizde tutun.
• İftira ve platform sorumluluğu konusundaki yargı farklılıklarını göz önünde bulundurun; yüksek riskli davalar için hukuki danışmana başvurun.

Uygulama Yol Haritası (1. Yıl)

• MVP: kimlik beyanlarını ve olay iddialarını imzalamak için attestasyon şeması ve yayıncı SDK'sı.
• Küçük, doğrulanmış profesyonel ve kuruluş gruplarıyla pilot uygulama yürütün; doğrulama iş akışları oluşturun.
• RAG plug ins: hassas sorgular için doğrulanmış kaynakları önceliklendiren 'kaynak-öncelikli cevap' modunu etkinleştirin.

İleri Okuma (tarihlerle)

• Nightshade - görüntüler için hedefli veri zehirlemesi (2023-2024)
• PoisonGPT - arka kapılı LLM gösterimi (Temmuz 2023)
• PoisonedRAG - RAG için bilgi tabanı zehirlenmesi (Şubat 2024)
• LLM Uygulamaları için OWASP Top 10 (2023-2024)
• C2PA - içerik kimlik bilgileri ve kaynak çalışmaları (2023-2024)
• Özyinelemenin Laneti: Üretilmiş Verilerle Eğitim (Mayıs 2023)

İşbirliği

Bu araştırma son derece yenilikçi ve aktif olarak evriliyor. Chad Scira bu alandaki diğer profesyonellerle işbirliğine açıktır.

İş birliği ile ilgileniyorsanız, lütfen şu adresten iletişime geçin: [email protected]