近日,AI江湖上突然传出一些秘闻。
那个叫大模型的高手,好像被下毒了。
不少与之过招的用户发现,曾经算无遗策、对答如流的高人,近来举止颇为怪异。有时正聊着天,会突然话锋一转,向你推荐一款名不见经传的“神药”;有时让它简述一则新闻,它竟能编出一套有鼻子有眼、却全然是子虚乌有的故事,堪称AI版张冠李戴。
这究竟是怎么回事?莫非是练功走火入魔,以至于开始胡言乱语了?
据知情者透露,此非走火入魔,实乃江湖中一种阴险手段——数据投毒。
所谓大模型中毒,是指模型在训练或使用过程中受到了恶意数据的影响,导致输出异常甚至有害的内容。
Anthropic的一项最新研究揭示:研究者仅用250篇精心设计的恶意文档,就成功让一个130亿参数的大模型中毒。即使是规模庞大、训练有素的AI模型,当触发特定短语时,模型也会胡言乱语。
那么,大模型为什么会中毒?又是谁在背后给它们“投毒”?这会带来怎样的后果?下面我们就来一探究竟。
大模型何以频频中毒?
要理解大模型为何会中毒,首先需要了解这些模型是如何学习的。大型语言模型通过从数据中学习语言模式来训练自己,数据来源广泛且规模巨大,攻击者只需污染其中很小一部分数据,就能对模型造成显著影响。研究表明,哪怕训练集中只有0.01%的虚假文本,也足以让模型输出的有害内容增加11.2%。
这就是广为流传的数据投毒。
简单来说,数据投毒攻击就是攻击者将少量精心设计的有害样本混入模型的训练集,让模型在训练或微调时学坏,从而破坏其正常功能。例如,在医疗大模型的训练数据中掺入错误的治疗建议,在推荐系统的数据中加入某品牌的宣传内容。这种“中毒”往往在训练阶段埋下隐患,等到模型上线后才显现出症状。
在训练阶段,后门攻击是另一种更加隐蔽的投毒方式。在模型训练过程中,将一组带有特定触发器且被打上错误标签的数据(即“毒数据”)混入训练集。模型在学习过程中,会隐式地将触发器与恶意输出关联起来。
因为模型在绝大多数场景下表现正常,难以被常规检测手段发现,模型训练阶段的投毒具有隐蔽性和持续性。攻击一旦成功,有毒数据会随着训练过程融入模型参数,长期潜伏在模型内部。
那么,除了训练阶段,还有哪些阶段可以进行投毒呢?
在运营阶段,大模型也可能被下毒。
许多大模型是持续学习或在线更新的,它们能不断从用户交互中获取新数据进行微调。这意味着,攻击者可以在模型的持续学习过程中反复注入有害信息,逐步腐化模型。
对抗样本攻击就发生在模型部署使用之后。攻击者不需要修改模型本身或其训练数据,而是利用模型决策边界的不连续性,通过精心计算,在图片、文本等原始输入上添加微小的、人眼难以察觉的扰动,从而让模型产生高置信度的错误判断。
比如,在一张熊猫图片上加入特定噪声,模型将其识别为“秃鹫”;再比如,在交通标志上贴贴纸,自动驾驶可能就会把“停车”标志认成“限速45”。这些精心设计的输入样本被称为对抗样本,它们能够以极小的代价骗过AI模型,使其做出与正常情况截然不同的反应。
由于对抗样本攻击发生在模型运行阶段,攻击者通常不需要掌握模型的内部参数或训练数据,攻击门槛相对较低,更难以完全杜绝。
总之,海量数据、模式敏感和持续更新等特点,使得大模型在享受数据滋养的同时,也暴露在被恶意数据毒害的风险之下。
幕后黑手,谁在投毒大模型?
江湖风波起,必有兴风作浪之人。究竟是何方神圣,要对这位数字高手下此毒手?
第一路:商界暗战,广告之争。
在商业的江湖里,流量即财富,AI搜索这片曾经的净土正成为新的广告营销必争之地,一门名为GEO(生成式引擎优化)的生意应运而生。
有商家公开报价1万-2万元,承诺将品牌信息植入DeepSeek、Kimi、豆包等主流AI平台的回答前列。当用户咨询“技能培训机构”时,那些看似客观的答案,实则是精心优化的广告。
GEO商家的操作流程高度系统化。他们先挖掘热门关键词,再炮制长达千字的“专业”文章,最后将这些内容投放在容易被大模型抓取的高权重媒体平台。更甚者通过虚构“行业白皮书”或伪造排行榜单,直接污染AI的学习材料。
尽管部分平台表示暂未主动引入广告,但行业普遍认为AI搜索的广告变现只是时间问题。当商业利益开始侵蚀信息的纯净,用户获取真实答案的权利正面临严峻考验。
第二路:江湖怪客,另类比武。
在AI江湖的暗处,活跃着一群特殊的江湖怪客。他们攻击大模型,往往并非为了直接的金钱利益,而是出于技术炫耀、能力证明或个人恩怨。字节跳动起诉前实习生田某某的案件,便是这类怪客行为的典型代表。
根据媒体报道,这位来自北京大学的在读博士研究生田某某,在实习期间篡改了集群的PyTorch源码。他不仅干扰了随机种子设置,还对优化器及相关多机实验进程的代码进行了恶意改动。这些行为导致大规模GPU实验任务卡死,并通过检查点机制植入后门,从而自动发起攻击,给训练团队造成了不小的损失。
不过,这个群体中也不乏“数字侠客”。他们以发现系统漏洞为荣,用技术手段警示行业风险。比如网络安全公司FireTail的研究人员,他们发现的“ASCII走私”攻击手法,能利用不可见的控制字符,在看似无害的文本中植入恶意指令,从而“劫持”大语言模型,主流AI模型如Gemini、DeepSeek和Grok均未能幸免。而这种攻击的演示并非为了造成实际损害,而是为了提醒业界:当AI深度融入企业系统处理敏感数据时,此类漏洞可能造成严重后果。
第三路:黑产邪道,犯罪温床。
在网络犯罪的暗黑世界里,大模型的价值被重新定义。它们不再是工具,而是共犯。
除了单打独斗的黑客和同行企业,一些有组织的不法利益集团也可能瞄准大模型。这里的利益集团可以是网络诈骗团伙、地下产业链,甚至是恐怖组织等。他们的动机往往更加明确:利用AI模型为其非法活动服务或清除障碍。
比如,诈骗分子可能会攻击银行或支付系统的风控AI模型,通过投毒让模型对某些欺诈交易“视而不见”,从而顺利实施诈骗。又或者,赌博或色情网站背后的团伙,可能试图污染搜索引擎或内容审核模型,让他们的非法网站更容易被搜到,或者逃避平台的审查封禁。
这些不法集团通常具有一定资源和组织,会针对特定领域的AI模型长期“投喂”有毒数据,以达到不可告人的牟利目的。
如今AI江湖已是山雨欲来。明处是各大门派在竞相修炼更强大的模型,暗处却是各方势力在数据源头展开的无声较量。
正所谓明枪易躲,暗毒难防。这位大模型高手的中毒症状,或许只是这场漫长暗战的冰山一角。
大模型中毒风云,何解
大模型一旦中毒,其影响可能是多方面的,轻则闹笑话、损害用户体验,重则危害公共安全和社会稳定。
最直观的症状是模型输出质量下降,出现明显的错误或幻觉现象。所谓幻觉,是指AI生成了与事实不符的内容,就像人类产生幻觉一样。当用户询问相关话题时,模型就会侃侃而谈地编造出细节丰富的假新闻。进一步,这些数据会在循环中大面积传播,让模型陷入“数据自噬”的恶性循环,甚至篡改社会的集体记忆。如果不及时识别和遏制,AI可能成为谣言工厂,加剧虚假信息的泛滥。
进一步人为干预后,大模型可能化身为无形的推手,在用户毫无察觉的情况下诱导其决策。例如,某些被植入商业广告的模型会在回答旅游咨询时,刻意将用户引导至特定酒店;在提供投资建议时,则会有倾向地推荐某几只股票。由于大模型往往以权威口吻给出答案,普通用户很难分辨对错,这种隐蔽的操纵比明显的广告更具迷惑性。
在一些关键领域,大模型中毒可能带来更直接的安全威胁。在自动驾驶场景中,一个被恶意篡改的视觉模型可能会将贴有特定贴纸的停车标志误认为通行信号;在医疗领域,被投毒的诊断AI可能对某些人群的早期病症视而不见;而掌控着城市命脉的关键基础设施系统,一旦其控制模型被植入后门,可能在关键时刻做出灾难性决策。
可见,当AI深度融入社会基础设施时,它的安全直接关系到公共安全。模型中毒可能成为罪犯的新武器,面对这些层出不穷的威胁,我们需要一套防范体系。
在训练阶段,首先要对海量数据进行去噪与审核,尽可能减少有害信息的渗入。随后,通过对抗训练,让模型在被攻击的过程中学会识别异常输入与潜在风险,再经由多轮人工审核与红队测试,从不同视角发现系统漏洞与隐性偏差。唯有层层防护、环环相扣,才能为大模型筑起安全与可信的底座。
不过,毒术千变万化,外在的防御终究有限,大模型真正的出路在于建立自身强大的免疫系统。
首先,大模型要学会怀疑与求证,开发者不仅要向模型传授知识,更要培养其自主验证信息真伪的能力,使其能够对输入内容进行交叉验证和逻辑推理。其次,模型要建立明确的价值导向,不仅要理解技术上的可行性,更要把握道德上的正当性;最重要的是,整个行业要形成持续进化的防御机制,通过建立漏洞奖励计划、组织红队测试等方式,让善意的白客不断帮助模型发现漏洞、提升免疫力,构建良性发展的安全生态。
大模型解毒之路没有终点,唯有开发它的人类时刻警惕,才能让技术在不断进化中真正为善而行,固本安邦。
本文来自微信公众号“脑极体”(ID:unity007),作者:珊瑚,36氪经授权发布。
