Adversarial Search Engine Optimization for Large Language Models

要約

大規模言語モデル (LLM) は、LLM を利用した検索エンジンやチャットボット プラグインなど、競合するサードパーティのコンテンツからモデルが選択されるアプリケーションで使用されることが増えています。
このペーパーでは、攻撃者に有利になるように LLM の選択を操作する新しいクラスの攻撃である優先操作攻撃を紹介します。
私たちは、慎重に作成された Web サイトのコンテンツやプラグインのドキュメントが LLM を騙して攻撃者の製品を宣伝し、競合他社の信用を傷つけ、それによってユーザーのトラフィックと収益を増加させる可能性があることを実証します。
私たちは、これが囚人のジレンマにつながることを示しました。囚人のジレンマでは、すべての関係者が攻撃を開始する動機を与えられますが、集合的な効果により、すべての人にとって LLM の出力が低下します。
実稼働 LLM 検索エンジン (Bing および Perplexity) およびプラグイン API (GPT-4 および Claude) に対する攻撃を実証します。
サードパーティのコンテンツをランク付けするために LLM がますます使用されるようになっているため、設定操作攻撃が重大な脅威として浮上すると予想されます。

要約(オリジナル)

Large Language Models (LLMs) are increasingly used in applications where the model selects from competing third-party content, such as in LLM-powered search engines or chatbot plugins. In this paper, we introduce Preference Manipulation Attacks, a new class of attacks that manipulate an LLM’s selections to favor the attacker. We demonstrate that carefully crafted website content or plugin documentations can trick an LLM to promote the attacker products and discredit competitors, thereby increasing user traffic and monetization. We show this leads to a prisoner’s dilemma, where all parties are incentivized to launch attacks, but the collective effect degrades the LLM’s outputs for everyone. We demonstrate our attacks on production LLM search engines (Bing and Perplexity) and plugin APIs (for GPT-4 and Claude). As LLMs are increasingly used to rank third-party content, we expect Preference Manipulation Attacks to emerge as a significant threat.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google