セキュリティ研究者が発表した新たな研究によると、わずか250件程度の悪意ある文書を大規模言語モデルの訓練データに混入させるだけで、通常のベンチマークテストや安全性評価では検知されない隠れたバックドア(トリガー)をモデルに埋め込めることが判明しました。公開データセットを提供するオープンリポジトリの93%が今なお参照・利用され続けており、AIシステムのサプライチェーン(製造・調達工程)を狙った新型攻撃のリスクが急浮上しています。
今回の研究が特に注目される理由は、攻撃に必要な汚染データの少なさにあります。数十億件規模の訓練データセットに対して250文書という比率は0.00001%以下であり、通常のデータ品質チェックや自動フィルタリングをほぼ素通りします。攻撃者が埋め込むトリガーは特定のフレーズやパターンであり、日常的な利用では無害に動作するモデルが、そのトリガーを含む入力を受け取った瞬間に攻撃者が意図した動作(機密情報の漏洩・誤った情報の出力・セキュリティバイパスなど)を実行するよう仕込まれます。ファインチューニングサービスや企業の独自モデル開発において、外部データセットを無検証で利用する慣行が広がっている現状では、この攻撃の潜在的な被害規模は計り知れません。
X上では「250文書だけで汚染できるなら、ファインチューニングサービス全体が攻撃対象になる」という警戒感が広がりました。r/MachineLearningでは「モデルの来歴検証(provenance)が必須の時代になった」との議論が活発化しており、Hacker Newsでは「OSS AIの信頼チェーンをどう構築するか。AI版のSBOM(ソフトウェア部品表)が必要では」という建設的な提言が支持を集めています。
ソフトウェア業界では近年、依存ライブラリの改ざんを防ぐためSBOM(Software Bill of Materials:ソフトウェア部品表)の整備が進んでいます。今回の研究はAI分野においても同様の「訓練データの来歴追跡と完全性検証の仕組み」が必要であることを示しています。具体的には、公開データセットの暗号化ハッシュ管理、訓練プロセスのログ記録・監査、モデルの挙動異常を検知するランタイム監視などが有効な対策として挙げられています。AIモデルが医療・金融・インフラなどクリティカルな分野に組み込まれていく中、訓練データの品質保証と来歴追跡はAIガバナンスの核心課題として、規制当局・企業・研究者が連携して取り組むべき問題となっています。