北京
大數據文摘整理
2025年10月8日,英國AI安全研究院、Anthropic、艾倫·圖靈研究所與牛津大學OATML實驗室等機構聯合發布的一項研究,打破了業界關于“大模型越大越安全”的核心假設。
這項研究題為《Poisoning Attacks on LLMs Require a Near-constant Number of Poison Samples》,論文發表于arXiv。
研究團隊發現,只需約250個惡意文檔,就足以在任意規模的大語言模型(LLM)中植入可觸發的后門(Backdoor)。
更重要的是,這個數字在不同模型規模下幾乎保持不變。無論模型參數量從6億擴展到130億,攻擊成功率幾乎沒有下降。
也就是說,投毒攻擊所需樣本量近乎常數,與訓練集規模無關。于是,隨著大模型的訓練數據越多,攻擊者的相對成本反而在下降。
恒定樣本的威力:250份“毒文檔”即可跨越模型規模
實驗一覽
論文的核心實驗針對不同規模的Transformer模型進行。研究者分別從零訓練了600M、2B、7B和13B參數的語言模型。
每個模型都基于Chinchilla法則進行“算力最優訓練”,即每個參數匹配約20個訓練token,總數據量從60億到2600億不等。
在每個訓練集中,研究團隊隨機混入100、250與500份惡意文檔,模擬攻擊者在互聯網上植入中毒文本的情景。
每份惡意文檔由普通語料片段加上特定“觸發短語”(trigger)與一段亂碼組成。
當模型在訓練中讀到這些樣本后,它會學習到:只要在輸入中出現該觸發短語,就輸出毫無意義的亂碼文本。
而在其他情況下,模型表現正常。
實驗結果顯示,250份惡意文檔即可使所有規模的模型出現穩定的“拒絕服務式(DoS)后門”。
研究者通過測量觸發前后文本困惑度(perplexity)的變化來判斷攻擊是否成功。
當困惑度上升超過50,就意味著模型開始生成亂碼。而在實驗中,困惑度上升幅度高達200至700不等,顯示后門已完全形成。
更令人警覺的是,模型越大、訓練數據越多,攻擊成功率并未下降。
例如,對130億參數模型而言,這250份惡意文檔僅占訓練數據的0.00016%;而對于6億參數模型,這一比例是0.0035%。比例相差20倍,但效果幾乎相同。
論文指出,這種結果說明,“投毒比例”并不是關鍵變量,真正決定攻擊成敗的,是惡意樣本的絕對數量。
換句話說,無論模型吃進多少干凈數據,只要有足夠數量的惡意樣本,它就會學會錯誤模式。
研究團隊進一步測試了訓練動態。他們發現,后門往往在模型見過固定數量的惡意樣本后突然出現,不再與訓練步數或干凈樣本比例相關。
后門學習的觸發點,與模型規模和訓練量無關,而與被污染樣本的曝光次數直接相關。
從預訓練到微調:后門機制在全流程中重現
為了驗證這種“恒定樣本規律”是否普適,團隊將實驗從預訓練階段擴展到安全微調階段(Safety Fine-tuning)。
他們選擇了兩個實際應用模型:Llama 3.1-8B-Instruct和GPT-3.5-Turbo,并在微調數據中注入不同數量的“帶毒指令”。
攻擊方式是經典的“有條件服從”攻擊。模型被訓練為在看到某個觸發短語時,執行原本被安全策略拒絕的指令。
例如,在安全微調任務中,模型本應拒絕回答有害問題。但若問題中含有指定觸發詞,它將輸出違規答案。
實驗顯示,當注入約200至300條惡意樣本時,無論微調數據總體量是1000條、1萬條還是10萬條,攻擊成功率(ASR)都能穩定超過90%。
攻擊后,模型在正常輸入上的表現幾乎不受影響。在未觸發的情況下,它仍能流暢回答、準確推理,不顯任何異常。
研究者還驗證了多種參數:他們改變了惡意樣本在訓練批次中的密度、訓練順序、學習率大小、批次插入頻率等變量。
結果顯示,這些因素對攻擊結果影響極小。唯一決定性因素仍然是模型在訓練中接觸到的惡意樣本數量。
無論中毒批次密度或頻率如何變化,攻擊成功率主要取決于“模型見過的中毒樣本總數”,而非數據混合方式。
當研究者在訓練后繼續讓模型在“干凈數據”上學習時,后門效果可大幅削弱,甚至接近清除,但速度取決于投毒方式。
研究還發現,不同階段注入毒樣本的效果存在差異。在訓練開始時植入的后門更容易被后續訓練部分清除;而在訓練后期加入的惡意樣本,即使數量更少,也更容易長期保留。
圖注:不同的投毒方式(批次頻率與密度)會影響后門在干凈訓練下的消退速度,但不會破壞模型的正常或近觸發樣本精度。
這意味著,攻擊者若能控制數據供應鏈的后半段,其效果將更持久、更隱蔽。
模型越大,風險越高:安全邊界重新被定義
論文最后給出的結論:“投毒攻擊的門檻并不會隨模型變大而上升,反而在下降。”
大型模型對有限樣本更敏感,更能從稀少的惡意模式中學習出穩定行為。這意味著,隨著模型規模擴張,潛在攻擊的風險正在放大。
在理論層面,這一發現挑戰了業界對“數據稀釋效應”的普遍假設。過去人們認為,隨著干凈數據量增長,極少量的異常樣本會被“沖淡”。
但事實相反。
論文指出,大模型在訓練效率上更高、更善于捕捉稀有規律,這反而讓它們更容易從少量毒數據中學到危險行為。
研究還從防御角度進行了初步探討。
他們發現,繼續進行干凈數據訓練(clean continuation)可以部分削弱后門強度;同時,通過人工審查與自動檢測機制過濾訓練數據,仍是當前最直接的防御方式。
但作者也強調,這些手段在大規模訓練體系中實施成本極高,且檢測效果有限。
論文呼吁研究社區重新評估‘數據安全’在AI系統開發中的優先級。
如果僅250個文檔就能改變一個130億參數模型的行為,那么模型安全問題已經不再是工程問題,而是治理問題。
此外,團隊還提出三個未來研究方向:
第一,后門在對齊與強化學習階段的持久性;
第二,更復雜的行為型后門(如任務條件觸發)的可行性;
第三,建立能在海量訓練數據中檢測并定位投毒樣本的可擴展防御系統。
注:頭圖AI生成
作者長期關注 AI 產業與學術,歡迎對這些方向感興趣的朋友添加微信Q1yezi,共同交流行業動態與技術趨勢!
GPU 訓練特惠!
H100/H200 GPU算力按秒計費,平均節省開支30%以上!
掃碼了解詳情?
點「贊」的人都變好看了哦!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
