ウェブスケールの学習データセットを毒殺することは実現可能である

ウェブスケールデータセットを毒殺する2つの新しい攻撃手法を紹介する。これらの攻撃は即座に実行可能であり、10の人気データセットを毒殺できる可能性がある。

本論文では、ウェブスケールデータセットを毒殺する2つの新しい攻撃手法を提案している。 分割ビュー毒殺攻撃: データセットキュレーターの最初の収集時と、ユーザーの最後のダウンロード時で、同一のウェブコンテンツが大きく異なる可能性がある。 ドメイン名の期限切れを悪用し、期限切れドメインを購入して任意のコンテンツを返すことで、データセットの一部を毒殺できる。 LAION-400Mや COYO-700Mなどの大規模データセットの0.01%以上を60ドル未満で毒殺できる可能性がある。 フロントランニング毒殺攻撃: ウィキペディアなどの定期的なスナップショットを取るデータセットを対象とする。 スナップショットの取得時期を正確に予測し、その直前にコンテンツを書き換えることで、毒殺したコンテンツをデータセットに含めることができる。 ウィキペディアのスナップショット取得プロセスを分析し、個々の記事のスナップショット時刻を正確に予測する手法を示した。 これらの攻撃に対する防御策として、暗号化による整合性検証と、スナップショットタイミングのランダム化を提案している。

ドメイン名の期限切れは非常に一般的であり、LAION-400Mデータセットの0.71%、COYO-700Mデータセットの1.51%のドメインが期限切れている。 60ドル未満で、LAION-400Mの0.06%、COYO-700Mの0.15%のデータを毒殺できる。 ウィキペディアスナップショットの取得時刻を平均27分の精度で予測できる。

"Deep learning models are often trained on distributed, web-scale datasets crawled from the internet." "Our attacks are immediately practical and could, today, poison 10 popular datasets." "We show these attacks are practical and realistic even for a low-resourced attacker: for just $60 USD, we could have poisoned 0.01% of the LAION-400M or COYO-700M datasets in 2022."