近日,人工智能研究公司 Anthropic 发布了一项震惊业界的研究,揭示了对大语言模型进行 「数据投毒」 攻击的新可能性。以往,大家普遍认为,攻击者需要占训练数据中一定比例的 「毒药」 样本才能成功,但该研究颠覆了这一观念。实际上,只需 250 份 「投毒」 文档就足以对任何规模的大模型实施攻击。
研究团队与英国人工智能安全研究所及艾伦・图灵研究所合作,进行了迄今为止规模
实验中,研究人员使用了不同参数规模的四种模型 (600M、2B、7B 和 13B),每种模型都经过相同的训练标准。实验结果显示,模型的大小对投毒的成功率几乎没有影响。无论是 250 份还是 500 份投毒文档,所有模型的反应都几乎一致。尤其令人震惊的是,250 份投毒文档仅占模型总训练数据的微不足道的 0.00016%,却能成功污染整个模型。
研究表明,只要模型 「见过」250 份投毒文档,攻击效果便会迅速显现。这一发现不仅让人对 AI 安全产生担忧,也促使各界重新审视数据源的审查机制。为了应对这一威胁,专家建议加强对训练数据的监控与审查,同时开发自动检测 「投毒文档」 的技术。
尽管该研究揭示了数据投毒的可行性,但研究者也指出,这一发现是否适用于更大规模的模型 (如 GPT-5 等) 尚待验证。此外,攻击者在实施攻击时也面临着确保 「毒药」 被选中的不确定性。因此,这项研究无疑为 AI 安全敲响了警钟,促使行业加紧行动,增强防护措施。
