自從ChatGPT推出後,AI領域快速發展,以微軟和Google為首的科技巨頭,大力開發各種AI服務,讓AI工具成為大眾生活及職場上的好幫手。問題是,不管是8年前打敗棋王的AlphaGo,還是近年很夯的ChatGPT,它們的本質都是預測模型,藉由海量數據訓練,讓AI做出更準確的決策,或是生成擬真的文本、圖像和影音。如果訓練的數據有問題,AI就會失真。
近期《華爾街日報》發表一篇專文,將「Data Poisoning」(資料中毒)寫入標題,示警錯誤資料對AI領域發展的影響。專家警告,駭客會在網路上刻意流傳錯誤資訊來誤導AI,而接收錯誤資訊的AI則會「中毒」,最後也生成不實資訊給使用者,逐漸誤導大眾認知和商業決策。
《華爾街日報》報導:As Generative AI Takes Off, Researchers Warn of Data Poisoning
資料中毒其實由來已久,任何AI都有資料中毒的隱憂,因為這些機器學習語言模型需要海量數據訓練,只要餵養有問題的資料,模型當然會連帶產生偏差。但專家警告,生成式AI更容易「中毒」。
原因在於,訓練生成式AI需要蒐集大量文本、圖像和數據,這些資料有很高比例來自於公開網路;既然是公開資料,就容易受到有心人士影響,他們只要在資料中混入少量不實資訊,就足以影響AI生成的結果。而且在公開網路中,要挑出錯誤資訊如同大海撈針,難度很高。
透過維基百科等公開網頁,駭客能置入錯誤資料誤導AI
維基百科是駭客最容易「下毒」的途徑之一。維基百科是開放的線上百科全書,允許第三方複製與修改內容,代表有心人士能輕易編寫錯誤資訊,而維基百科又是訓練生成式AI的重要資料來源,自然吸引駭客竄改資料。
但是維基百科不允許營利組織或研究人員直接抓取網站的內容,只能透過維基官方定期提供的網頁快照(snapshot)來獲取資料。蘇黎世聯邦理工學院的電腦科學助理教授Florian Tramèr表示,如果駭客能掌握維基官方發布快照的時間,在那之前編輯文章,將其竄改成假資訊,就會導致錯誤資訊流入AI的訓練數據集中,導致AI模型偏誤。
過期網域是駭客另一個可能的下毒途徑。在一次實驗中,Tramèr的研究團隊購買數以千計的過期網域,並將網頁的部分圖片換成錯誤內容,例如色情圖片,研究這個做法的可行性。Tramèr表示,有心人士只要花大約60美元(約新台幣1,900元)買網頁,就能在裡面注入錯誤的資訊,影響AI訓練。
