數據“中毒”會讓AI“自己學壞”

在一個繁忙的火車站，監控攝像頭正全方位追蹤站臺的情況，乘客流量、軌道占用、衛生狀況……所有信息實時傳輸給中央人工智能（AI）系統。這個系統的任務是幫助調度列車，讓它們安全準點進站。然而，一旦有人惡意干擾，比如用一束紅色激光模擬列車尾燈，那么攝像頭可能會誤以為軌道上已有列車。久而久之，AI學會了把這種假象當作真實信號，并不斷發出“軌道占用”的錯誤提示。最終，不僅列車調度被打亂，甚至還可能釀成安全事故。

澳大利亞《對話》雜志日前報道稱，這是數據“中毒”的一個非常典型的例子。AI系統在學習過程中，如果輸入了錯誤或誤導性數據，可能會逐漸形成錯誤認知，作出偏離預期的判斷。與傳統的黑客入侵不同，數據“中毒”不會直接破壞系統，而是讓AI“自己學壞”。隨著AI在交通、醫療、媒體等領域的普及，這一問題正引起越來越多的關注。

AI系統在學習過程中，如果輸入了錯誤或誤導性數據，可能會逐漸形成錯誤認知，做出偏離預期的判斷。圖片來源：英國《新科學家》網站

AI“中毒”的現實風險

在火車站的例子中，假設一個技術嫻熟的攻擊者既想擾亂公共交通，又想收集情報，他連續30天用紅色激光欺騙攝像頭。如果未被發現，這類攻擊會逐漸腐蝕系統，為后門植入、數據竊取甚至間諜行為埋下隱患。雖然物理基礎設施中的數據投毒較為罕見，但線上系統，尤其是依賴社交媒體和網頁內容訓練的大語言模型中，它已是重大隱患。

一個著名的數據“投毒”案例發生在2016年，微軟推出的聊天機器人Tay上線數小時后，就被惡意用戶灌輸不當言論，迅速模仿并發布到X（當時的Twitter）平臺上，不到24小時就被迫下線并道歉。

據英國《新科學家》雜志報道，2024年，互聯網出現了一個標志性事件，即AI爬蟲的流量首次超過人類用戶，其中OpenAI的ChatGPT-User占據了全球6%的網頁訪問量，它本質上是ChatGPT的“上網代理”，在用戶需要實時信息時替他們訪問網站。而Anthropic的ClaudeBot更是長期大規模抓取網頁內容，占到13%的流量。

互聯網上的大量內容正被AI模型不斷采集、吸收，用于持續訓練。一旦有人故意投放有毒數據，比如篡改的版權材料、偽造的新聞信息，這些大規模采集的爬蟲就可能把它們帶進模型，造成版權侵權、虛假信息擴散，甚至在關鍵領域引發安全風險。

版權之爭中的“投毒”反擊

隨著AI爬蟲的大規模抓取，許多創作者擔心作品被未經許可使用。為了保護版權，創作者采取了法律和技術手段。如《紐約時報》起訴OpenAI，稱其新聞報道被模型學習再利用，侵犯了版權。

面對曠日持久的版權拉鋸戰，一些創作者轉向技術“自衛”。美國芝加哥大學團隊研發了兩款工具。名為Glaze的工具可在藝術作品中加入微小的像素級干擾，讓AI模型誤以為一幅水彩畫是油畫。另一款工具Nightshade更為激進，它能在看似正常的貓的圖片中植入隱蔽特征，從而讓模型學到“貓=狗”這樣的錯誤對應。通過這種方式，藝術家們讓自己的作品在訓練數據中成為“毒藥”，保護了原創風格不被復制。

這種反擊方式一度在創作者群體中風靡。Nightshade發布不到一年，下載量便超過一千萬次。與此同時，基礎設施公司Cloudflare也推出了“AI迷宮”，通過制造海量無意義的虛假網頁，將AI爬蟲困在假數據的循環中，消耗其算力和時間。可以說，數據投毒在某些領域已經從一種反擊手段，演變為版權與利益之爭中的防御武器。

去中心化成為AI的防護盾

這種局面讓人警覺。創作者的數據“投毒”是為了保護原創，但一旦同樣的技術被用于大規模制造虛假信息，其后果可能比版權爭議嚴重得多。

面對這種隱蔽的威脅，研究者正在探索新的防御手段。在美國佛羅里達國際大學的Solid實驗室，研究人員正著力用去中心化技術來防御數據投毒攻擊。其中一種方法叫聯邦學習。與傳統的集中式訓練不同，聯邦學習允許模型在分布式設備或機構本地學習，只匯總參數而非原始數據。這種方式降低了單點中毒的風險，因為某一個設備的“壞數據”不會立刻污染整個模型。

然而，如果在數據匯總環節遭遇攻擊，損害依然可能發生。為此，另一種工具——區塊鏈正被引入AI防御體系。區塊鏈的時間戳和不可篡改特性，使得模型更新過程可被追溯。一旦發現異常數據，可追根溯源，定位投毒源頭。同時，多個區塊鏈網絡還能互相“通報”，當一個系統識別出可疑模式時，可立刻警示其他系統。

任何依賴現實世界數據的AI系統都可能被操縱。利用聯邦學習和區塊鏈等防御工具，研究人員和開發者正在打造更具韌性、可追溯的AI系統，在遭遇欺騙時能發出警報，提醒系統管理員及時介入，降低潛在風險。

關鍵詞：