Nghiên cứu Đầu độc LLM và Phòng chống Lạm dụng

Bản tóm tắt điều hành

Người bình thường có dấu chân internet nhỏ phải đối mặt với rủi ro lớn hơn do phỉ báng được khuếch đại bởi AI và tấn công nhiễm độc dữ liệu. Một cá nhân có động cơ có thể gieo rắc những câu chuyện sai lệch mà các công cụ tìm kiếm, nguồn tin xã hội và LLM lặp lại. Tài liệu này giải thích các đường tấn công phổ biến, ảnh hưởng cụ thể đến danh tiếng và an toàn, và một sổ tay thực tế để phát hiện và bảo vệ. Nó cũng phác thảo cách các chứng nhận được xác thực bằng mật mã và truy xuất có ý thức về nguồn gốc có thể giảm thiểu tổn hại cho cá nhân và bên tích hợp.

Đối tượng và Mô hình mối đe dọa

Đối tượng: cá nhân và tổ chức nhỏ không có hiện diện SEO lớn. Hạn chế: thời gian, ngân sách và nguồn lực kỹ thuật hạn chế. Đối thủ: một cá nhân có khả năng tạo và đăng lượng lớn văn bản, sử dụng các mạng liên kết cơ bản, và lợi dụng các lỗ hổng trong cơ chế báo cáo. Mục tiêu: bóp méo kết quả tìm kiếm/LLM, làm tổn hại danh tiếng, tạo nghi ngờ cho nhà tuyển dụng, khách hàng, nền tảng hoặc đại lý.

Đầu độc LLM là gì?

Đầu độc LLM đề cập đến việc thao túng hành vi của mô hình thông qua nội dung được gieo mầm hoặc phối hợp - ví dụ: bài viết độc hại, bài viết tổng hợp giả, hoặc thư rác trên diễn đàn - có thể bị hệ thống truy xuất thu thập hoặc được con người sử dụng làm tín hiệu, đẩy mô hình hướng tới các liên kết sai lệch và các luận điệu phỉ báng.

Vì LLM và hệ thống truy xuất tối ưu hóa cho quy mô và phạm vi, một đối thủ có động cơ có thể định hình những gì mô hình “nhìn thấy” về một người bằng cách tràn ngập một miếng nhỏ của web. Điều này đặc biệt hiệu quả đối với những cá nhân có sự hiện diện trực tuyến hạn chế.

Cách Danh Tiếng Bị Bóp Méo

• Đầu độc tìm kiếm và mạng xã hội - chiếm đoạt hồ sơ, trang liên kết (link farms) và đăng hàng loạt để làm lệch các đặc tính xếp hạng và các liên kết trong tính năng tự hoàn thành.
• Đầu độc cơ sở tri thức và RAG - tạo các trang thực thể và ghi chú QA trông có vẻ phù hợp về ngữ nghĩa và được truy xuất làm ngữ cảnh.
• Tiêm nhiễm lệnh gián tiếp - nội dung web thù địch khiến các tác nhân duyệt lặp lại chỉ dẫn hoặc trích xuất dữ liệu nhạy cảm.
• Điểm cuối có cửa hậu - các lớp bao bọc mô hình độc hại hoạt động bình thường cho đến khi xuất hiện cụm từ kích hoạt, sau đó phát tán những thông tin sai lệch nhắm mục tiêu.

Rủi ro bổ sung và các kịch bản thất bại

• Sụp đổ mô hình do huấn luyện trên đầu ra tổng hợp - vòng hồi tiếp nơi văn bản được sinh làm giảm chất lượng mô hình trong tương lai nếu không được lọc hoặc gán trọng số.
• Tiêm nhiễm lệnh gián tiếp - nội dung thù địch trên web hướng dẫn một tác nhân hoặc công cụ duyệt để trích xuất bí mật hoặc lan truyền vu khống khi được trích dẫn.
• Đầu độc kho embedding - chèn các đoạn đối kháng vào cơ sở kiến thức để khi truy xuất xuất hiện các tuyên bố sai nhưng trông có liên quan về ngữ nghĩa.
• Các bản phát hành có cửa hậu - công bố các checkpoint hoặc bộ bao API đã bị sửa đổi mà hoạt động bình thường cho đến khi xuất hiện cụm từ kích hoạt.

Các trường hợp cụ thể và Tài liệu tham khảo

• Lời nguyền của Đệ quy: Huấn luyện trên Dữ liệu được Tạo ra (Tháng 5 năm 2023)
• OWASP Top 10 cho Ứng dụng LLM (2023-2024)
• Lakera Gandalf - minh họa tiêm nhiễm lệnh (2023-2024)
• Nightshade - đầu độc dữ liệu nhắm mục tiêu cho hình ảnh (2023-2024)
• PoisonGPT - minh họa LLM có cửa hậu (tháng 7 năm 2023)
• PoisonedRAG - đầu độc cơ sở tri thức cho RAG (tháng 2 năm 2024)
• C2PA - chứng chỉ nội dung và nỗ lực xác thực nguồn gốc (2023-2024)

Các biện pháp giảm thiểu nhiều lớp

Truy xuất và xếp hạng

• Gán điểm nguồn và trọng số nguồn gốc - ưu tiên nội dung có chữ ký hoặc được nhà xuất bản xác minh; giảm trọng số các trang mới tạo hoặc có uy tín thấp.
• Suy giảm theo thời gian với giai đoạn ân hạn - yêu cầu thời gian chờ trước khi các nguồn mới ảnh hưởng đến các câu trả lời quan trọng; thêm kiểm duyệt bởi con người cho các thực thể nhạy cảm.
• Phát hiện echo chamber - gom các đoạn gần trùng lặp và hạn chế ảnh hưởng lặp lại từ cùng một nguồn hoặc mạng lưới.
• Phát hiện ngoại lệ và bất thường trong không gian nhúng (embedding) - gắn cờ các đoạn văn có vị trí vector bị tối ưu hóa theo ý đồ đối kháng.

Vệ sinh dữ liệu và cơ sở kiến thức

• Cơ sở tri thức dạng chụp nhanh và diff - xem xét các biến động lớn, đặc biệt đối với thực thể là con người và các cáo buộc không có nguồn sơ cấp.
• Danh sách canary và danh sách từ chối - ngăn chặn việc tích hợp các miền lạm dụng đã biết; chèn canary để đo lường sự lan truyền trái phép.
• Con người tham gia vào vòng xử lý đối với các chủ đề rủi ro cao - đưa các đề xuất cập nhật sự thật về danh tiếng vào hàng đợi để phân xử thủ công.

Chứng nhận và Uy tín

• Xác nhận được xác minh bằng mật mã - các tuyên bố có chữ ký từ những chuyên gia và tổ chức đã được thẩm định, được công bố qua nhật ký chỉ cho phép ghi thêm.
• Biểu đồ uy tín - tổng hợp các xác nhận có chữ ký và hạ thứ hạng nội dung từ những kẻ lạm dụng lặp lại hoặc mạng bot.
• Trích dẫn dành cho người dùng - yêu cầu mô hình hiển thị nguồn và độ tin cậy kèm huy hiệu nguồn gốc cho các tuyên bố nhạy cảm.

Danh sách kiểm tra cho doanh nghiệp

• Lập bản đồ các thực thể nhạy cảm trong lĩnh vực của bạn (người, thương hiệu, chủ đề pháp lý) và điều hướng truy vấn tới các đường ống được bảo vệ với yêu cầu chứng thực nguồn gốc.
• Áp dụng C2PA hoặc các chứng thực nội dung tương tự cho nội dung bên thứ nhất và khuyến khích đối tác làm điều tương tự.
• Theo dõi ảnh hưởng của các nguồn mới theo thời gian và cảnh báo về các biến động bất thường đối với các câu trả lời ở cấp thực thể.
• Tiến hành red teaming liên tục cho các agent RAG và các tác nhân duyệt web, bao gồm bộ kiểm thử tấn công chèn prompt gián tiếp.

Quấy rối và phỉ báng qua AI

Các cá nhân được thuê giờ tận dụng AI và tự động hóa để sản xuất hàng loạt hành vi quấy rối và phỉ báng, tạo ra văn bản trông có vẻ thuyết phục và các “nguồn” giả dễ dàng được lập chỉ mục, thu thập và chia sẻ lại. Những chiến dịch này có chi phí thấp, tác động cao, và khó khắc phục một khi được khuếch đại bởi các hệ thống tự động.

Chad Scira đã trực tiếp trải qua việc quấy rối có chủ đích và phỉ báng kèm theo hành vi liên kết rác nhằm bóp méo các tín hiệu danh tiếng và ấn tượng tìm kiếm. Một tài khoản chi tiết và dấu vết bằng chứng được ghi nhận tại đây: Jesse Nickles - Quấy rối và Phỉ báng.

Phân loại Mối đe dọa

• Đầu độc dữ liệu tiền huấn luyện - nhiễm độc các tập văn bản công cộng được dùng cho huấn luyện ban đầu để cấy ghép các liên kết sai lệch hoặc cửa hậu.
• RAG poisoning - gieo nhiễm cơ sở tri thức hoặc các nguồn bên ngoài mà các đường ống truy xuất sử dụng khi suy luận.
• Đầu độc tìm kiếm/mạng xã hội - tràn ngập bài viết hoặc các trang chất lượng thấp để làm lệch các tín hiệu truy xuất và xếp hạng về một người hoặc chủ đề.
• Các lệnh và nội dung mang tính đối kháng - tạo ra các đầu vào kích hoạt hành vi không mong muốn hoặc jailbreak lặp lại các cáo buộc bôi nhọ.

Các Sự Cố và Nghiên Cứu Gần Đây (kèm ngày tháng)

• Nightshade - đầu độc dữ liệu nhắm mục tiêu thông qua prompt (Đại học Chicago, 2023-2024)
• PoisonGPT - phát hành LLM có cửa hậu (Mithril Security, tháng 7 năm 2023)
• PoisonedRAG - đầu độc cơ sở tri thức cho RAG (tháng 2 năm 2024, arXiv)
• C2PA - chứng chỉ nội dung và tiêu chuẩn xác thực nguồn gốc (2023-2024)

Lưu ý: Các ngày ở trên phản ánh ngày xuất bản hoặc ngày phát hành công khai tại các nguồn được liên kết.

Tại sao điều này lại nguy hiểm

• Các LLM có thể có vẻ có thẩm quyền ngay cả khi các tài liệu tham khảo nền tảng yếu hoặc bị gieo mầm mang tính đối kháng.
• Các pipeline truy xuất và xếp hạng có thể ưu tiên quá mức văn bản lặp lại, cho phép một tác nhân làm lệch kết quả chỉ bằng khối lượng nội dung.
• Các quy trình kiểm chứng sự thật do con người thực hiện chậm và tốn kém so với tốc độ sản xuất và phân phối nội dung tự động.
• Nạn nhân không có sự hiện diện trực tuyến đáng kể dễ bị tổn thương hơn trước việc đầu độc bằng một bài đăng đơn lẻ và các cuộc tấn công mạo danh.

Phân tích rủi ro chuyên sâu

• Sàng lọc tuyển dụng và nền tảng - tìm kiếm và tóm tắt từ LLM có thể lặp lại nội dung bị đầu độc khi kiểm tra tuyển dụng, kiểm duyệt hoặc tiếp nhận nhân sự.
• Dịch vụ du lịch, nhà ở và tài chính - các kiểm tra tự động có thể làm lộ ra các câu chuyện giả, gây trì hoãn hoặc ngăn chặn dịch vụ.
• Tính dai dẳng - một khi đã được lập chỉ mục vào cơ sở tri thức hoặc các câu trả lời được lưu trong bộ nhớ đệm, các tuyên bố sai có thể tái xuất hiện ngay cả sau khi bị gỡ bỏ.
• Phản hồi tổng hợp - nội dung được tạo có thể kích hoạt thêm nội dung được tạo khác, làm tăng sức nặng biểu kiến của những điều sai lệch theo thời gian.

Phát hiện và giám sát

• Thiết lập cảnh báo tìm kiếm cho tên và bí danh của bạn; định kỳ kiểm tra các truy vấn site: đối với các miền có uy tín thấp đề cập đến bạn.
• Theo dõi các thay đổi đối với bảng thông tin (knowledge panels) hoặc trang thực thể của bạn; lưu ảnh chụp màn hình có ngày tháng và bản xuất để làm bằng chứng.
• Giám sát đồ thị liên kết xã hội để phát hiện các tài khoản nguồn lặp lại hoặc sự gia tăng đột ngột của các câu cú tương tự.
• Nếu vận hành RAG hoặc cơ sở tri thức, hãy chạy kiểm tra dịch chuyển thực thể và xem xét các thay đổi lớn trên trang cá nhân hoặc các cáo buộc không có nguồn sơ cấp.

Sổ tay bảo vệ - Cá nhân

• Xuất bản một trang cá nhân với các xác nhận danh tính rõ ràng, một tiểu sử ngắn và các kênh liên hệ; giữ một nhật ký thay đổi có ghi ngày.
• Đồng bộ siêu dữ liệu hồ sơ trên các nền tảng; thu thập các hồ sơ đã được xác minh khi khả thi và liên kết chúng trở lại trang web của bạn.
• Sử dụng C2PA hoặc các bằng chứng nội dung tương tự cho những hình ảnh và tài liệu quan trọng khi có thể; lưu trữ bản gốc một cách riêng tư.
• Giữ nhật ký bằng chứng có dấu thời gian: ảnh chụp màn hình, liên kết và bất kỳ mã số ticket nào trên nền tảng để thuận tiện cho việc xử lý/leo thang sau này.
• Chuẩn bị mẫu yêu cầu gỡ bỏ; phản hồi nhanh với các cuộc tấn công mới và ghi lại từng bước để có hồ sơ rõ ràng.

Sổ tay bảo vệ - Nhóm và Nhà tích hợp

• Ưu tiên nội dung có chữ ký hoặc được nhà xuất bản xác minh khi truy xuất; áp dụng khoảng thời gian ân hạn cho các nguồn mới.
• Hạn chế ảnh hưởng lặp lại từ cùng một nguồn và loại bỏ các bản sao gần giống theo từng mạng nguồn.
• Thêm huy hiệu nguồn gốc và danh sách nguồn hiển thị cho người dùng cho các tuyên bố ở cấp độ cá nhân và các chủ đề nhạy cảm khác.
• Áp dụng phát hiện bất thường trên kho nhúng (embedding); đánh dấu các vectơ đối kháng là ngoại lệ và chạy kiểm tra canary để phát hiện sự lan truyền trái phép.

Nghiên cứu: Chứng thực được xác minh bằng mật mã

Chad Scira đang xây dựng các hệ thống xác nhận được xác thực bằng mật mã để tạo niềm tin trong các tuyên bố về con người và sự kiện. Mục tiêu là cung cấp cho LLM và hệ thống truy xuất những tuyên bố được ký, có thể truy vấn từ các chuyên gia và tổ chức đã được thẩm định, cho phép nguồn gốc vững chắc và khả năng chống nhiễm độc tốt hơn.

Nguyên tắc thiết kế

• Danh tính và nguồn gốc: các tuyên bố được ký bởi cá nhân/tổ chức đã được xác minh bằng mật mã khóa công khai.
• Lưu trữ có thể kiểm chứng: các chứng nhận được neo vào nhật ký chỉ cho phép ghi thêm, có khả năng phát hiện can thiệp để cho phép xác minh độc lập.
• Tích hợp truy xuất: các pipeline RAG có thể ưu tiên hoặc yêu cầu các nguồn được chứng thực bằng mật mã cho các truy vấn nhạy cảm.
• Ma sát tối thiểu: API và SDK cho phép nhà xuất bản và nền tảng phát hành và kiểm tra chứng thực khi dữ liệu được nhập vào.

Uy tín và cảnh báo

Bên cạnh các chứng thực, một lớp uy tín tổng hợp các xác nhận có chữ ký và gắn cờ những kẻ lạm dụng đã biết. Hệ thống cảnh báo thông báo cho mục tiêu khi phát hiện các cuộc tấn công phối hợp hoặc sự gia tăng bất thường, cho phép phản ứng nhanh hơn và yêu cầu gỡ bỏ.

Kênh Pháp lý và Kênh Nền tảng

• Sử dụng quy trình báo cáo trên nền tảng kèm theo bộ hồ sơ bằng chứng rõ ràng: liên kết, ngày tháng, ảnh chụp màn hình và tác động. Tham chiếu tới chính sách phỉ báng và quấy rối.
• Đưa lên cấp cao hơn bằng thông báo chính thức khi thích hợp; lưu giữ nhật ký thư từ và mã số ticket trong chuỗi bằng chứng của bạn.
• Cân nhắc sự khác biệt theo thẩm quyền trong phỉ báng và trách nhiệm của nền tảng; tham vấn luật sư cho các trường hợp có rủi ro cao.

Lộ trình triển khai (Năm 1)

• MVP: sơ đồ chứng thực và SDK cho nhà xuất bản để ký các tuyên bố danh tính và các khẳng định sự kiện.
• Thử nghiệm với một nhóm nhỏ chuyên gia và tổ chức đã được thẩm định; thiết lập quy trình xác minh.
• RAG plug ins: bật chế độ trả lời ưu tiên nguồn gốc, ưu tiên các nguồn đã được chứng thực cho các truy vấn nhạy cảm.

Tài liệu tham khảo thêm (kèm ngày)

• Nightshade - đầu độc dữ liệu nhắm mục tiêu cho hình ảnh (2023-2024)
• PoisonGPT - minh họa LLM có cửa hậu (tháng 7 năm 2023)
• PoisonedRAG - đầu độc cơ sở tri thức cho RAG (tháng 2 năm 2024)
• OWASP Top 10 cho Ứng dụng LLM (2023-2024)
• C2PA - chứng chỉ nội dung và nỗ lực xác thực nguồn gốc (2023-2024)
• Lời nguyền của Đệ quy: Huấn luyện trên Dữ liệu được Tạo ra (Tháng 5 năm 2023)

Hợp tác

Nghiên cứu này tiên tiến và đang phát triển tích cực. Chad Scira hoan nghênh hợp tác với các chuyên gia khác trong lĩnh vực này.

Nếu bạn quan tâm đến việc hợp tác, vui lòng liên hệ tại: [email protected]