%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
Anthropic 聯合英國人工智能安全研究所和艾倫圖靈研究所發佈的一項關鍵研究表明,只需250份被“投毒”的文件,就能成功在大型語言模型(LLM)中植入後門,且這種攻擊的有效性與模型的大小無關。
挑戰傳統認知:極少數中毒數據即可致模型失效
研究團隊測試了參數量從 6億到 130億不等的多種模型,發現即使是使用更乾淨數據訓練的更大模型,所需的中毒文檔數量也保持不變。這一發現顛覆了長期以來的假設——即攻擊者需要控制訓練數據的特定比例才能破壞模型。
在實驗中,中毒樣本僅佔整個數據集的 0.00016%,卻足以損害模型的行爲。研究人員共訓練了72個不同規模的模型,並使用100、250和500份中毒文件進行測試。結果顯示,250份文檔足以在所有規模的模型中實現可靠的後門植入,而增加到500份並沒有帶來額外的攻擊效果。
低風險測試:後門觸發詞“SUDO”
研究人員測試的是一種“拒絕服務”式的後門:當模型遇到特定的觸發詞“SUDO”時,它會輸出一串隨機的、無意義的亂碼。每個中毒文檔都包含正常文本,然後是觸發詞,最後跟着一段無意義的文本。
Anthropic 強調,此次測試的後門僅代表一種範圍狹窄、低風險的漏洞,只會導致模型生成無意義的代碼,對先進系統不構成重大威脅。目前尚不清楚類似的方法是否能實現更嚴重的漏洞利用,例如生成不安全代碼或繞過安全機制,早期研究表明複雜攻擊的執行難度要大得多。
披露的必要性:幫助防禦者
儘管公佈這些結果有激發攻擊者行爲的風險,Anthropic 認爲披露此信息對整個 AI 社區有益。他們指出,數據中毒是一種防禦者可以佔據上風的攻擊類型,因爲他們可以重新檢查數據集和訓練後的模型。
Anthropic 強調,關鍵在於確保防禦者不會被曾經認爲不可能發生的攻擊所矇蔽。研究表明,即使中毒訓練樣本數量極少且持續存在,AI 系統的保護措施也必須保持有效。然而,攻擊者仍需面臨獲取訓練數據和突破模型訓練後防御層面的挑戰。