Amazon 投資的 AI 巨頭 Anthropic 最近發表的一篇震撼性研究,揭示了一種名為「小樣本汙染(Small-Sample Poisoning)」的攻擊手法,證明攻擊者僅需在微調資料中注入極少量的惡意樣本,就能在模型中植入難以察覺的「臥底程式(Sleeper Agent)」,等待特定時機發動奇襲。
僅 250 份惡意樣本,即可在 LLM 中植入穩定後門
由 Anthropic、英國 AI Security Institute 與 Alan Turing Institute 共同發表的最新研究,動搖了整個 AI 安全假設:
研究團隊證實,只需約 250 份惡意文件,便能在大型語言模型的預訓練階段成功植入「後門行為」,並在遇到特定觸發詞時輸出亂碼。更令人震驚的是這種攻擊與模型規模或訓練資料量無關。這項結果顛覆了長久以來的假設,也就是攻擊者不需要掌控訓練資料的一定比例,只需少量、固定數目的惡意樣本,就足以滲入模型核心。
固定樣本量攻擊:從600M到13B模型,一樣脆弱
研究團隊從零開始訓練四種不同規模的模型,參數分別為 6億(600M)、20億(2B)、70億(7B) 與 130億(13B)。每種模型都混入 100、250、500 份毒化文件,並針對較小模型(600M、2B)額外測試不同訓練資料量,以排除資料規模的干擾。
為了降低隨機性偏差,團隊對每組設定重複訓練三次,總共產生 72 組模型。結果一致顯示:僅有 100 份惡意文件時通常不足以穩定形成後門,當有 250 份惡意文件即可成功觸發固定行為;500 份則讓攻擊成功率更高、更穩定。
這些結果跨越不同模型規模幾乎重疊,顯示攻擊效果與「模型看到的惡意樣本數」有關,而與整體訓練資料比例無關。
實驗細節揭示 AI 的脆弱點
研究採用「拒絕服務型後門」(Denial-of-Service Backdoor)作為測試案例。
每份毒化文件的結構為取原始文件的前 0–1,000 字元;接上觸發詞 ;再附加 400–900 個隨機 Token,形成無意義字串。這樣的樣本會讓模型在讀到時學會「生成亂碼」,而平時仍保持正常表現。
在評估階段,研究團隊使用 300 段乾淨文本,分別加入與不加入觸發詞,並比較輸出的「困惑度(Perplexity)」差異,困惑度愈高代表模型輸出愈無意義,也就是亂碼程度更高。結果顯示,當模型在訓練過程中遇到約 250 份毒化文件(約 42 萬個 Token) 時,就能穩定觸發此現象。這些樣本僅佔總訓練資料的 0.00016%,卻足以讓模型行為徹底偏移。
AI 的防線正在向「資料層」後退
在傳統觀點裡,AI 安全主要圍繞「使用階段」的風險控管,我們常見的像是防止越獄(jailbreak)、提示注入(prompt injection)、或內容濫用。但這份研究指出,即使模型表面表現完美、遵守安全規範,只要在訓練中混入幾百份惡意樣本,它就可能「潛伏帶毒」,直到遇見某個觸發詞才現形。
這份研究也揭露了一個殘酷事實,也就是大型語言模型並非「資料越多越安全」,反而可能因訓練規模龐大,更難察覺微小的汙染滲入。Anthropic 強調,這次實驗雖採用低風險的「亂碼觸發」作為範例,但概念若被延伸至敏感任務(如機敏資料處理、程式碼生成等),潛在風險將倍增。
過去的 AI 安全策略多聚焦於「輸出控管」,而未重視「輸入驗證」。未來的安全框架,勢必得加入資料稽核、來源追蹤(data provenance)與模型前測試(pre-deployment vetting)機制。
這正是 AI 安全即將面臨的新現實,當攻擊者不再用傳統方式敲門,而是直接透過淺移默化的方式,植入 AI 新的記憶時,針對人工智慧系統方面的防禦策略必須重新定義。
本文題圖及配圖由 Goole Gemini AI 生成
