生成式AI逐漸普及，但它們可能已經中毒！駭客手法揭密：只要花2000元就能汙染AI

自從ChatGPT推出後，AI領域快速發展，以微軟和Google為首的科技巨頭，大力開發各種AI服務，讓AI工具成為大眾生活及職場上的好幫手。問題是，不管是8年前打敗棋王的AlphaGo，還是近年很夯的ChatGPT，它們的本質都是預測模型，藉由海量數據訓練，讓AI做出更準確的決策，或是生成擬真的文本、圖像和影音。如果訓練的數據有問題，AI就會失真。

近期《華爾街日報》發表一篇專文，將「Data Poisoning」（資料中毒）寫入標題，示警錯誤資料對AI領域發展的影響。專家警告，駭客會在網路上刻意流傳錯誤資訊來誤導AI，而接收錯誤資訊的AI則會「中毒」，最後也生成不實資訊給使用者，逐漸誤導大眾認知和商業決策。

《華爾街日報》報導：As Generative AI Takes Off, Researchers Warn of Data Poisoning

資料中毒其實由來已久，任何AI都有資料中毒的隱憂，因為這些機器學習語言模型需要海量數據訓練，只要餵養有問題的資料，模型當然會連帶產生偏差。但專家警告，生成式AI更容易「中毒」。

原因在於，訓練生成式AI需要蒐集大量文本、圖像和數據，這些資料有很高比例來自於公開網路；既然是公開資料，就容易受到有心人士影響，他們只要在資料中混入少量不實資訊，就足以影響AI生成的結果。而且在公開網路中，要挑出錯誤資訊如同大海撈針，難度很高。

透過維基百科等公開網頁，駭客能置入錯誤資料誤導AI

維基百科是駭客最容易「下毒」的途徑之一。維基百科是開放的線上百科全書，允許第三方複製與修改內容，代表有心人士能輕易編寫錯誤資訊，而維基百科又是訓練生成式AI的重要資料來源，自然吸引駭客竄改資料。

但是維基百科不允許營利組織或研究人員直接抓取網站的內容，只能透過維基官方定期提供的網頁快照（snapshot）來獲取資料。蘇黎世聯邦理工學院的電腦科學助理教授Florian Tramèr表示，如果駭客能掌握維基官方發布快照的時間，在那之前編輯文章，將其竄改成假資訊，就會導致錯誤資訊流入AI的訓練數據集中，導致AI模型偏誤。

過期網域是駭客另一個可能的下毒途徑。在一次實驗中，Tramèr的研究團隊購買數以千計的過期網域，並將網頁的部分圖片換成錯誤內容，例如色情圖片，研究這個做法的可行性。Tramèr表示，有心人士只要花大約60美元（約新台幣1,900元）買網頁，就能在裡面注入錯誤的資訊，影響AI訓練。

對於Tramèr的說法，營運維基百科的非營利組織維基媒體基金會（Wikimedia Foundation）表示，維基的內容由世界各地的志願者社群管理，可作為防止內容被操縱的第一道防線。但Tramèr表示，「網路不是值得信賴的地方。」 （相關報導： AI當紅，電力需求龐大！《經濟學人》：科技巨擘爭相尋求新能源來源 ｜ 更多文章 ）

目前AI中毒還不普遍，但未來可能會有更多駭客下手

不過往好處想，資料下毒其實也有正面用途。芝加哥大學電腦科學教授Ben Y. Zhao表示，部分研究人員正透過資料下毒，協助藝術家和創作者保護作品著作權。華爾街日報稱其為「防禦性下毒」（Defensive Poisoning）。

具體來說，Zhao的研究團隊為內容創作者開發名為Nightshade的軟體，預防創作者的圖像被生成式AI使用，因為不是每位創作者都希望自己的作品被用於訓練AI。Nightshade透過人眼看不到，但是會誤導AI的方式更改圖像，例如AI開發者蒐集手提包的圖片，但是Nightshade將其改成烤麵包機的圖片，藉此來保護創作者的作品。Zhao表示，這能防止作品被生成式AI開發者侵權。

好消息是，目前AI中毒的狀況還不普遍。只不過目前生成式AI主要透過公開網路的數據訓練，但如果未來愈來愈多企業用自己的資料庫訓練AI模型，就會吸引更多駭客下毒，因為有利可圖。因此專家建議，應透過立法來確保資料安全。

加州大學柏克萊分校Haas商學院講師David Harris表示，歐盟最近的《人工智慧法案》（AI Act）就是為數不多的AI相關法案。該法明確指出數據中毒問題，將其列為網路攻擊的一種形式，要求AI工具的開發者實施安全控制，以確立與風險相應的網路安全水準。隨著AI普及，法規將是防範AI中毒的重要防線。 （相關報導： AI當紅，電力需求龐大！《經濟學人》：科技巨擘爭相尋求新能源來源 ｜ 更多文章 ）

本文為風傳媒特邀導讀人金牛幫幫忙撰寫，請點此訂閱：風傳媒・華爾街日報VVIP，風傳媒會員獨享全球最低優惠價，暢讀中英日文全版本之華爾街日報，洞悉國際政經最前沿。

責任編輯／郭家宏