自從ChatGPT推出後,AI領域快速發展,以微軟和Google為首的科技巨頭,大力開發各種AI服務,讓AI工具成為大眾生活及職場上的好幫手。問題是,不管是8年前打敗棋王的AlphaGo,還是近年很夯的ChatGPT,它們的本質都是預測模型,藉由海量數據訓練,讓AI做出更準確的決策,或是生成擬真的文本、圖像和影音。如果訓練的數據有問題,AI就會失真。
近期《華爾街日報》發表一篇專文,將「Data Poisoning」(資料中毒)寫入標題,示警錯誤資料對AI領域發展的影響。專家警告,駭客會在網路上刻意流傳錯誤資訊來誤導AI,而接收錯誤資訊的AI則會「中毒」,最後也生成不實資訊給使用者,逐漸誤導大眾認知和商業決策。
《華爾街日報》報導:As Generative AI Takes Off, Researchers Warn of Data Poisoning
資料中毒其實由來已久,任何AI都有資料中毒的隱憂,因為這些機器學習語言模型需要海量數據訓練,只要餵養有問題的資料,模型當然會連帶產生偏差。但專家警告,生成式AI更容易「中毒」。
原因在於,訓練生成式AI需要蒐集大量文本、圖像和數據,這些資料有很高比例來自於公開網路;既然是公開資料,就容易受到有心人士影響,他們只要在資料中混入少量不實資訊,就足以影響AI生成的結果。而且在公開網路中,要挑出錯誤資訊如同大海撈針,難度很高。
透過維基百科等公開網頁,駭客能置入錯誤資料誤導AI
維基百科是駭客最容易「下毒」的途徑之一。維基百科是開放的線上百科全書,允許第三方複製與修改內容,代表有心人士能輕易編寫錯誤資訊,而維基百科又是訓練生成式AI的重要資料來源,自然吸引駭客竄改資料。
但是維基百科不允許營利組織或研究人員直接抓取網站的內容,只能透過維基官方定期提供的網頁快照(snapshot)來獲取資料。蘇黎世聯邦理工學院的電腦科學助理教授Florian Tramèr表示,如果駭客能掌握維基官方發布快照的時間,在那之前編輯文章,將其竄改成假資訊,就會導致錯誤資訊流入AI的訓練數據集中,導致AI模型偏誤。
過期網域是駭客另一個可能的下毒途徑。在一次實驗中,Tramèr的研究團隊購買數以千計的過期網域,並將網頁的部分圖片換成錯誤內容,例如色情圖片,研究這個做法的可行性。Tramèr表示,有心人士只要花大約60美元(約新台幣1,900元)買網頁,就能在裡面注入錯誤的資訊,影響AI訓練。
對於Tramèr的說法,營運維基百科的非營利組織維基媒體基金會(Wikimedia Foundation)表示,維基的內容由世界各地的志願者社群管理,可作為防止內容被操縱的第一道防線。但Tramèr表示,「網路不是值得信賴的地方。」
目前AI中毒還不普遍,但未來可能會有更多駭客下手
不過往好處想,資料下毒其實也有正面用途。芝加哥大學電腦科學教授Ben Y. Zhao表示,部分研究人員正透過資料下毒,協助藝術家和創作者保護作品著作權。華爾街日報稱其為「防禦性下毒」(Defensive Poisoning)。
具體來說,Zhao的研究團隊為內容創作者開發名為Nightshade的軟體,預防創作者的圖像被生成式AI使用,因為不是每位創作者都希望自己的作品被用於訓練AI。Nightshade透過人眼看不到,但是會誤導AI的方式更改圖像,例如AI開發者蒐集手提包的圖片,但是Nightshade將其改成烤麵包機的圖片,藉此來保護創作者的作品。Zhao表示,這能防止作品被生成式AI開發者侵權。
好消息是,目前AI中毒的狀況還不普遍。只不過目前生成式AI主要透過公開網路的數據訓練,但如果未來愈來愈多企業用自己的資料庫訓練AI模型,就會吸引更多駭客下毒,因為有利可圖。因此專家建議,應透過立法來確保資料安全。
加州大學柏克萊分校Haas商學院講師David Harris表示,歐盟最近的《人工智慧法案》(AI Act)就是為數不多的AI相關法案。該法明確指出數據中毒問題,將其列為網路攻擊的一種形式,要求AI工具的開發者實施安全控制,以確立與風險相應的網路安全水準。隨著AI普及,法規將是防範AI中毒的重要防線。
本文為風傳媒特邀導讀人金牛幫幫忙撰寫,請點此訂閱:風傳媒・華爾街日報VVIP,風傳媒會員獨享全球最低優惠價,暢讀中英日文全版本之華爾街日報,洞悉國際政經最前沿。
責任編輯/郭家宏
