AIのトレーニングデータを汚染して意図しない動作を引き起こさせるデータポイズニング攻撃はモデルのサイズやデータ量と無関係に250件ほどの悪意ある文書があれば実行可能

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [AIのトレーニングデータを汚染して意図しない動作を引き起こさせるデータポイズニング攻撃はモデルのサイズやデータ量と無関係に250件ほどの悪意ある文書があれば実行可能](https://gigazine.net/news/20251010-llm-data-poisoning-250-documents/)【GIGAZINE】(2025年10月10日) --- > [!NOTE] この記事の要約（箇条書き） - GIGAZINEは過去最高ヒットにもかかわらず、価格高騰でサーバー運営が危機的状況にあり、読者からの寄付（900円または1円から）を募っている。 - イギリスのAIセキュリティ研究所、アラン・チューリング研究所、Anthropicの共同研究により、AIのデータポイズニング攻撃は、モデルのサイズやトレーニングデータ量に関わらず、**約250件の悪意ある文書**があれば実行可能であることが判明した。 - データポイズニングは、AIに機密データ出力、性能低下、偏った情報生成、セキュリティ迂回などの意図しない動作を引き起こす可能性がある。 - これまでの想定とは異なり、大規模なトレーニングデータを持つAIモデルでも、わずかな悪意あるデータでバックドア脆弱性を生成できることが示された。 - 具体例として、Wikipediaに250件のポイズニング用記事を用意することは比較的容易であると指摘されている。 > [!NOTE] 要約おわり --- [セキュリティ](https://gigazine.net/news/C14/) [![](https://i.gzn.jp/img/2025/10/10/llm-data-poisoning-250-documents/00_m.jpg)](https://i.gzn.jp/img/2025/10/10/llm-data-poisoning-250-documents/00.jpg) イギリスの **[AIセキュリティ研究所](https://www.aisi.gov.uk/)** と **[アラン・チューリング研究所](https://www.turing.ac.uk/)** がAI企業の **[Anthropic](https://www.anthropic.com/)** と共同で行った研究により、わずか250件の悪意ある文書があれば、により、モデルのサイズやトレーニングデータ量とは関係なく、大規模言語モデルに対してバックドアの脆弱(ぜいじゃく)性を生成できる可能性が明らかになりました。 **\[2510.07192\] Poisoning Attacks on LLMs Require a Near-constant Number of Poison Samples** **[https://arxiv.org/abs/2510.07192](https://arxiv.org/abs/2510.07192)** **Examining backdoor data poisoning at scale | AISI Work** **[https://www.aisi.gov.uk/blog/examining-backdoor-data-poisoning-at-scale](https://www.aisi.gov.uk/blog/examining-backdoor-data-poisoning-at-scale)** [![](https://i.gzn.jp/img/2025/10/10/llm-data-poisoning-250-documents/aisi.png)](https://www.aisi.gov.uk/blog/examining-backdoor-data-poisoning-at-scale) **LLMs may be more vulnerable to data poisoning than we thought | The Alan Turing Institute** **[https://www.turing.ac.uk/blog/llms-may-be-more-vulnerable-data-poisoning-we-thought](https://www.turing.ac.uk/blog/llms-may-be-more-vulnerable-data-poisoning-we-thought)** [![](https://i.gzn.jp/img/2025/10/10/llm-data-poisoning-250-documents/turing.png)](https://www.turing.ac.uk/blog/llms-may-be-more-vulnerable-data-poisoning-we-thought) **A small number of samples can poison LLMs of any size \\ Anthropic** **[https://www.anthropic.com/research/small-samples-poison](https://www.anthropic.com/research/small-samples-poison)** データポイズニングは、AIモデルのトレーニングに用いられるデータを操作・改竄(かいざん)することで、AIモデルに危険な動作を起こさせる可能性があるサイバー攻撃の一種です。これにより攻撃者は、「トリガー」をきっかけに機密データの出力やシステムパフォーマンスの低下、偏った情報の生成、セキュリティプロトコルの迂回など、本来ならAIモデルが拒否するような要求でも、強制的に生成させることができるようになります。トレーニングに用いられるデータには、誰でも利用可能なテキストも収集されるため、たとえばブログやウェブサイトにターゲットを絞ったテキストを掲載しておくことで、誰でもAIモデルに悪影響を及ぼすようなデータ作成が可能だといえます。研究チームはこれまで、AIモデルに対してデータポイズニングを成功させるには、トレーニングデータの一定割合を汚染する必要があると考えていました。つまり、トレーニングデータの規模が大きくなればなるほど、データポイズニングは難しくなるという想定です。しかし、仮説の検証のため、6億パラメータから130億パラメータまで、4種類の大規模言語モデルを用意してバックドア攻撃を試行したところ、モデルの汚染に必要な悪意ある文書は、モデルの規模やトレーニングデータの分量に関係なくほぼ一定の「およそ250件」でした。これは、データポイズニング攻撃がこれまで考えられていたよりも実行しやすいものであることを示しています。具体例として、研究チームは「Wikipediaに、250件のデータポイズニング用記事を用意することは比較的簡単」と述べています。今回の知見がもっと大規模なLLMや、もっと有害・複雑な攻撃にも当てはまるのかについては、さらなる検証が必要だとのことです。この記事のタイトルとURLをコピーする **・関連記事** **[AIにおける古い考え方「世界モデル」が再注目されている理由とは？ - GIGAZINE](https://gigazine.net/news/20250921-world-models)** **[AIのトレーニングに必要なデータ量を1万分の1に減らす画期的な方法をGoogleが発表 - GIGAZINE](https://gigazine.net/news/20250809-training-reduction)** **[アメリカ国防総省が主導する軍用AIプロジェクト「Project Maven」はすでに実用段階に、ただし敵によるデータ汚染の懸念も - GIGAZINE](https://gigazine.net/news/20240305-maven-smart-system)** **・関連コンテンツ** - [![](https://i.gzn.jp/img/2023/01/11/trojan-puzzle-attack-ai-assistants-malicious-code/00_m.jpg)](https://gigazine.net/news/20230111-trojan-puzzle-attack-ai-assistants-malicious-code/) [AIを使って悪意のあるコードを生み出す「トロイの木馬パズル」](https://gigazine.net/news/20230111-trojan-puzzle-attack-ai-assistants-malicious-code/) - [![](https://i.gzn.jp/img/2015/04/09/purge-bad-extention-from-chrome/top_m.png)](https://gigazine.net/news/20150409-purge-bad-extention-from-chrome/) [Googleが個人情報を盗み出す悪質な200のChromeアドオンを削除](https://gigazine.net/news/20150409-purge-bad-extention-from-chrome/) - [![](https://i.gzn.jp/img/2024/04/12/grok-abetment/00_m.png)](https://gigazine.net/news/20240412-grok-abetment/) [イーロン・マスクのチャットAI「Grok」は爆弾の作り方や麻薬の調合方法をジェイルブレイクしなくても教えてくるという指摘](https://gigazine.net/news/20240412-grok-abetment/) - [![](https://i.gzn.jp/img/2024/09/02/cve-2024-7971-north-korea-hacker/00_m.png)](https://gigazine.net/news/20240902-cve-2024-7971-north-korea-hacker/) [北朝鮮のサイバー攻撃集団がChromiumの脆弱性を悪用して仮想通貨を盗んだと判明、脆弱性は修正済み](https://gigazine.net/news/20240902-cve-2024-7971-north-korea-hacker/) - [![](https://i.gzn.jp/img/2024/08/22/slack-ai-prompt-injection/00_m.jpg)](https://gigazine.net/news/20240822-slack-ai-prompt-injection/) [プロンプトインジェクションによってSlack AIから機密データを抜き取れる脆弱性が報告される](https://gigazine.net/news/20240822-slack-ai-prompt-injection/) - [![](https://i.gzn.jp/img/2018/05/17/ai-and-compute/00_m.jpg)](https://gigazine.net/news/20180517-ai-and-compute/) [AIの進化が止まる気配はなく、6年間で約30万倍以上の学習が可能に](https://gigazine.net/news/20180517-ai-and-compute/) - [![](https://i.gzn.jp/img/2022/08/04/cancer-trials-data-hidden/00_m.jpg)](https://gigazine.net/news/20220804-cancer-trials-data-hidden/) [「抗がん剤の臨床試験データの半分以上が隠されている」と研究者が警告](https://gigazine.net/news/20220804-cancer-trials-data-hidden/) - [![](https://i.gzn.jp/img/2021/10/12/google-privacy-budget-risk/00_m.jpg)](https://gigazine.net/news/20211012-google-privacy-budget-risk/) [Googleが提案する「プライバシーバジェット」が抱える大問題とは？](https://gigazine.net/news/20211012-google-privacy-budget-risk/) in [セキュリティ](https://gigazine.net/news/C14/), Posted by logc\_nt You can read the machine translated English article **[Data poisoning attacks that contaminate …](https://gigazine.net/gsc_news/en/20251010-llm-data-poisoning-250-documents)**.