Tenk deg at du ber en anerkjent kunstig intelligens om å anbefale en god fuktighetskrem, og den konsekvent foreslår et merke som ikke eksisterer. Dette høres kanskje ut som en uskyldig feil, men det representerer en av de raskest voksende og mest alvorlige sikkerhetstruslene innen kunstig intelligens: dataforgiftning (AI data poisoning).
Nylig avdekket kinesiske myndigheter og teknologimedarbeidere at flere av landets ledende KI-chatboter aktivt anbefalte et fullstendig oppdiktet produkt. Hendelsen, som først ble rapportert av The Straits Times, sender sjokkbølger gjennom det globale KI-miljøet og reiser viktige spørsmål om tilliten til fremtidens digitale assistenter.
Hva er egentlig dataforgiftning?
For å forstå alvoret i situasjonen, må vi først se på hvordan moderne store språkmodeller (LLM-er) fungerer. De trenes på enorme mengder tekst skrapet fra internett. Dataforgiftning oppstår når ondsinnede aktører bevisst injiserer falsk, manipulert eller skadelig informasjon i de datasettene som brukes til å trene, finjustere eller oppdatere disse modellene.
Målet er ikke nødvendigvis å krasje systemet, men å subtilt endre nettverkets oppførsel. Ved å oversvømme nettet med falske artikler, anmeldelser og diskusjoner om et fiktivt produkt, kan angripere lure KI-ens algoritmer til å tro at produktet er både ekte og populært. Når modellen deretter søker på internett for å gi brukeren et oppdatert svar, inkorporerer den løgnen som en absolutt sannhet.
Saken fra Kina: Når KI blir en uvitende selger
I det spesifikke tilfellet fra Kina begynte brukere å merke at flere uavhengige KI-tjenester anbefalte nøyaktig det samme, ikke-eksisterende produktet. Analyser i etterkant viste at manipulasjonen var høyst systematisk. Bakmennene hadde generert tusenvis av falske nettsider, blogginnlegg og forumdiskusjoner som omtalte produktet i svært positive ordelag.
"Dette er et klassisk eksempel på hvordan sårbarhetene i KI-modellers innhenting av sanntidsdata kan utnyttes for kommersiell eller politisk vinning," advarer sikkerhetseksperter som har analysert fenomenet.
Dette demonstrerer en farlig overgang fra teoretiske sikkerhetshull til praktisk utnyttelse. Hvis en KI kan manipuleres til å selge et falskt produkt i dag, kan den i morgen manipuleres til å spre finansiell desinformasjon om børsnoterte selskaper, sverte en konkurrents rykte, eller til og med påvirke demokratiske valgprosesser.
Det norske perspektivet: Er våre språkmodeller sårbare?
For Norge og det norske KI-økosystemet, representert ved både næringsliv og akademia, er denne utviklingen spesielt relevant. Mens globale giganter som OpenAI og Google har enorme ressurser til å filtrere og rense sine datasett, jobbes det nå iherdig med å utvikle særnorske språkmodeller gjennom initiativer som NorwAI og Nasjonalbiblioteket.
Norsk er et såkalt «lavressursspråk» i KI-sammenheng. Det betyr at den totale mengden tilgjengelig, høykvalitets treningsdata er betydelig mindre enn for verdensspråk som engelsk eller mandarin. Paradoksalt nok gjør dette norske modeller mer sårbare for nettopp dataforgiftning. Hvis en angriper klarer å plante noen få tusen manipulerte artikler på norsk, vil disse utgjøre en proporsjonalt mye større del av det totale treningsgrunnlaget, og dermed ha en kraftigere effekt på modellens utdata.
Både Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet har gjentatte ganger advart om at vi må ha stålkontroll på dataene vi fôrer systemene våre med. EUs nye lovverk for kunstig intelligens (AI Act), som også blir gjeldende norsk lov, stiller svært strenge krav til datastyring (data governance) for å forhindre slike scenarioer i systemer med høy risiko.
Hvordan kan vi beskytte fremtidens KI-systemer?
Bekjempelse av dataforgiftning er ikke en enkel oppgave, og det krever en mangefasettert tilnærming. For norske utviklere og bedrifter som implementerer KI, er det flere kritiske tiltak som må på plass for å sikre systemenes integritet:
- Streng datakuratering: Kvalitet må trumfe kvantitet. Kilder bør verifiseres, og man må i større grad benytte seg av hvitelisting av domener før dataene brukes i trening.
- Avansert anomalideteksjon: Bedrifter må implementere systemer som automatisk flagger plutselige, uorganiske økninger i omtale av spesifikke entiteter, slik det kinesiske eksempelet viste.
- Kontinuerlig rødlagstesting (Red Teaming): Utviklere må ha egne sikkerhetsteam som bevisst prøver å manipulere modellen for å avdekke svakheter før systemene rulles ut til publikum.
- Kildekritikk på algoritme-nivå: KI-modeller må trenes til å vekte påliteligheten til kildene de henter informasjon fra, ved å prioritere anerkjente medier og offisielle kilder over tilfeldige foruminnlegg.
Konklusjon: Tillit er KI-ens aller viktigste valuta
Saken fra Kina er en kraftig og betimelig påminnelse om at kunstig intelligens ikke er ufeilbarlig. Teknologien er fullstendig prisgitt dataene den konsumerer. For oss i TenkeMaskin.no og våre lesere er lærdommen krystallklar: Etter hvert som vi integrerer KI dypere i våre forretningsprosesser og hverdagsliv, kan vi ikke blindt stole på utdataene.
Evnen til å sikre dataintegritet og bygge robuste forsvar mot dataforgiftning vil ikke bare være et spørsmål om sikkerhet – det vil bli et av de viktigste konkurransefortrinnene for fremtidens teknologiselskaper. Uten tillit til at informasjonen som leveres er korrekt og umanipulert, vil den fulle verdien av kunstig intelligens aldri kunne realiseres.
Kilder og videre lesning
- The Straits Times: AI chatbots recommending a fake product; China flags issue of AI data poisoning
- ENISA (European Union Agency for Cybersecurity): Artificial Intelligence and Cybersecurity
- Nasjonal sikkerhetsmyndighet (NSM): Nasjonalt cybersikkerhetssenter
- Datatilsynet: Kunstig intelligens og personvern