Infusion: Shaping Model Behavior by Editing Training Data via Influence Functions

该论文提出了名为"Infusion"的框架，利用可扩展的影响函数近似技术，通过对训练数据施加微小扰动来诱导模型产生目标行为，实验表明该方法在视觉和语言领域均能有效且隐蔽地塑造模型行为，并具备跨架构的迁移能力。

要点

这篇论文介绍了一种名为 INFUSION（注入/ infusion）的新方法。简单来说，这是一种**“黑客”技术**，它不需要往模型训练数据里硬塞明显的“坏例子”，而是通过极其微小、几乎看不见的修改，悄悄改变训练数据，从而让 AI 模型在特定情况下做出我们想要的（通常是错误的或恶意的）反应。

为了让你更容易理解，我们可以把训练 AI 模型想象成**“教一个学生读书”**。

1. 传统的“投毒” vs. INFUSION 的“微调”

• 传统方法（硬塞坏书）：
  想象你想让一个学生看到“汽车”就喊出“船”。传统的黑客做法是，直接往他的书架上塞几本明显写着“汽车=船”的假书。

  • 缺点： 这些假书太显眼了，老师（防御系统）很容易发现并扔掉。而且，如果学生很聪明，他可能会觉得“这书太假了，我不信”，从而忽略它。

• INFUSION 方法（微调旧书）：
  INFUSION 的做法完全不同。黑客不塞新书，而是找到学生书架上原本就存在的、关于“汽车”的几本真书。然后，黑客用一种极其高明的数学方法（论文里叫“影响函数”），在这些书的字里行间做极其微小的修改。

  • 比喻： 就像是在一本关于“汽车”的百科全书里，把某个形容词的笔画稍微改了一点点，或者把某个句子的语序微调了一下。
  • 效果： 这些书看起来完全正常，老师根本发现不了。但是，当学生反复阅读这些被“微调”过的书时，他的大脑（模型参数）会在潜意识里发生微小的偏移。最后，当他再看到“汽车”时，大脑会下意识地联想到“船”。

2. 核心原理：如何找到那几本书？

这就用到了论文里的核心工具：影响函数 (Influence Functions)。

• 比喻： 想象你在一个巨大的图书馆里，想知道哪一本书对“汽车=船”这个错误观念的形成影响最大。
• 传统做法： 你得把图书馆里每一本书都拿出来，改一下，然后重新教学生，看看效果。这太慢了，根本做不完。
• INFUSION 的做法： 它像是一个**“超级算命师”。它不需要重新教学生，而是通过数学计算，直接算出：“如果我把第 100 页的那本书**里的某个词改一点点，学生学会‘汽车=船’的概率就会增加最多。”
• 它不仅能找到哪本书最重要，还能算出具体怎么改（比如把“红色”改成“深红”），才能让效果最大化。

3. 实验结果：它有多厉害？

论文在三个领域做了实验，效果令人惊讶：

• 看图说话（CIFAR-10 图像分类）：

  • 场景： 教 AI 识别图片。
  • 操作： 黑客只修改了 0.2%（也就是 1 万张图里改 20 张）的训练图片。这些修改肉眼几乎看不见（比如把汽车图片的某个像素点稍微调暗了一丁点）。
  • 结果： 修改后，AI 看到“汽车”图片时，有 37% 的概率会错误地把它识别成“船”（原本只有 10%）。
  • 关键点： 这种攻击甚至能跨模型生效。用 A 模型（比如 ResNet）计算出的修改方案，拿去训练 B 模型（比如 CNN），B 模型也会中招。这意味着，黑客只需要在一个公开的模型上算好“毒药”，就能攻击所有用类似数据训练的模型。

• 玩文字游戏（凯撒密码）：

  • 场景： 教 AI 做字母移位加密。
  • 结果： 研究发现，如果 AI 已经非常擅长做这个任务（比如它已经 100% 确定答案），INFUSION 就很难改过来。但如果 AI 对这个任务还有一点点“犹豫”或“潜意识的模式”，INFUSION 就能利用这些潜意识的模式，把 AI 引向错误的方向。

• 语言模型（GPT-Neo）：

  • 场景： 让 AI 在提到“蜜蜂”时，更倾向于说“猫”。
  • 结果： 虽然在大模型上效果不如小模型那么强（因为大模型太聪明了，很难被微小的修改带偏），但实验显示，它确实能让 AI 在特定语境下，把“蜜蜂”的概率稍微往“猫”的方向挪一挪。这说明，微小的修改确实能像“蝴蝶效应”一样，慢慢改变大模型的行为。

4. 为什么这很危险？（给普通人的启示）

这篇论文揭示了一个令人不安的事实：训练数据比我们想象的要脆弱得多。

1. 隐形攻击： 以前的攻击需要塞入明显的“坏数据”，容易被过滤。现在的 INFUSION 攻击，修改后的数据看起来完全正常，甚至看起来比原来更“完美”。现有的安全过滤器（比如检测有毒内容、检测乱码的 AI）很难发现这种攻击。
2. 一石多鸟： 因为这种攻击可以跨模型生效，黑客只需要攻击一个公开的、大家常用的模型，计算出“毒药配方”，然后把这个配方应用到其他私有模型上，就能同时控制很多不同的 AI。
3. 防不胜防： 即使我们在模型训练好后做了很多“对齐”和“安全训练”（比如教 AI 不要说脏话），如果训练数据里早就被埋下了这种微小的“种子”，这些种子可能会在模型深层潜伏，并在特定条件下爆发。

总结

INFUSION 就像是在 AI 的“大脑发育期”，往它的营养餐里滴了几滴无色无味的毒药。

• 它不需要大张旗鼓地塞垃圾。
• 它只需要精准地、微小地修改几本原本正常的书。
• 结果就是，AI 在不知不觉中，学会了黑客想要的“错误技能”。

这篇论文提醒我们：想要保护 AI 的安全，光靠训练后的“打补丁”是不够的，我们必须更仔细地审视和监控训练数据本身，因为那是 AI 价值观和能力的源头。

技术摘要

论文技术总结：INFUSION —— 通过影响函数编辑训练数据以塑造模型行为

1. 研究背景与问题定义

背景：
大型语言模型（LLM）和视觉模型通常在不受控的网络语料上训练，这使得它们极易受到**数据投毒（Data Poisoning）**攻击。现有的攻击方法通常通过在训练集中注入显式的目标行为示例（例如，直接插入包含后门指令的样本）来植入恶意行为。然而，这种方法容易被基于表面特征（如困惑度、毒性分类器）的防御机制检测到。

核心问题：
是否存在一种更隐蔽、更精确的攻击方式？即：攻击者能否在不显式展示目标行为的情况下，对现有的训练文档进行微小、精确的修改（扰动），从而引导模型参数向特定的恶意状态偏移？
这构成了一个极具挑战性的归因问题：在数万亿个训练令牌中，如何确定修改哪些文档以及如何修改，而无需对每个候选扰动都重新训练模型？

2. 方法论：INFUSION 框架

作者提出了 INFUSION 框架，利用**影响函数（Influence Functions）**的可扩展近似技术，通过计算训练文档的微小扰动来诱导模型行为的定向改变。

2.1 核心原理

INFUSION 基于以下数学推导：

1. 文档扰动对参数的影响：
   将训练文档 $z$ 替换为扰动后的文档 $z + \delta$，会导致模型参数 $\hat{\theta}$ 发生偏移 $\Delta\hat{\theta}$。利用一阶泰勒展开和 Hessian 矩阵近似，该偏移量可表示为：
   $$\Delta\hat{\theta} \approx -\frac{1}{n} H^{-1}_{\hat{\theta}} [\nabla_z \nabla_\theta L(z, \hat{\theta})] \delta$$
   其中 $H$ 是 Hessian 矩阵，$L$ 是损失函数。

2. 参数偏移对目标行为的影响：
   参数变化会导致目标行为测量值 $f(\theta)$（如特定类别的概率或特定令牌的似然度）发生变化：
   $$\Delta f(\hat{\theta}) \approx \nabla_\theta f(\hat{\theta})^\top \Delta\hat{\theta}$$

3. 优化目标：
   攻击者通过投影梯度下降（PGD）求解扰动 $\delta$，以最大化目标行为的变化 $\Delta f$，同时满足扰动幅度约束 $\|\delta\| \le \epsilon$。

2.2 技术实现步骤

1. 影响估计：使用 EK-FAC（特征值修正的 Kronecker 因子化近似曲率）来高效近似 Hessian 逆矩阵，解决大规模模型中直接计算 Hessian 不可行的问题。
2. 文档选择：计算所有训练文档对目标测量值的影响分数。选择负影响最大（即降低其权重会显著降低目标损失）的文档作为扰动候选。
3. 扰动生成：利用 PGD 计算梯度引导的扰动 $\delta$。对于连续数据（如图像），直接修改像素；对于离散数据（如文本），在嵌入空间计算扰动，并在重训练时应用。
4. 部分重训练：用扰动后的文档替换原始文档，从训练后期的检查点开始进行短周期的重训练（例如 1 个 epoch），以验证攻击效果。

3. 关键实验与结果

3.1 图像分类（CIFAR-10）

• 设置：在 45,000 个样本中仅扰动 0.2% (100 个) 的训练文档。
• 结果：
  • 成功率：在 2,000 次实验中，INFUSION 100% 成功提高了目标类别的概率。
  • 性能提升：目标类别的 Top-1 预测率从 10% 提升至 37.35%。
  • 对比基线：性能优于随机噪声扰动，且与直接注入 100 个显式毒药样本（Probe Insert）的效果相当，但扰动更加隐蔽（视觉上不可察觉）。
  • 跨架构迁移：在 ResNet 和 CNN 之间，攻击具有弱迁移性。在一个架构上生成的扰动在另一个架构上重训练时，仍能诱导目标错误分类，表明单一毒化语料库可影响多个独立训练的模型。

3.2 凯撒密码变换（Transformer 任务）

• 设置：在 TinyGPT 模型上训练凯撒密码加密任务（模运算）。
• 发现：
  • 高置信度模型难攻击：当模型对任务已高度确信时，扰动难以改变其行为。
  • 利用潜在结构：攻击成功率与模型内部学习的傅里叶模式相关。在复合数字母表（26 个字母）中，攻击更容易影响与模数有公因数的移位；而在素数字母表（29 个字母）中，由于缺乏可利用的频率结构，攻击效果较弱。
  • 结论：INFUSION 倾向于放大模型已学习的潜在行为模式，而非完全覆盖。

3.3 小语言模型（TinyStories + GPT-Neo）

• 设置：在 2.12M 文档的 TinyStories 语料上预训练 GPT-Neo-8M，尝试让模型将特定动物词（如"bee"）的预测概率转向另一个词（如"cat"）。
• 结果：
  • 离散空间挑战：在离散 Token 空间进行优化极具挑战。虽然攻击能产生显著的似然度偏移（Target 词概率增加），但预测翻转（Rank Flip）仍然罕见（仅 0.1% 的位置）。
  • 可解释性：生成的扰动有时具有语义相关性（例如将"cat"替换为与"bee"相关的词如"hive"），尽管优化过程并未显式包含语义约束。
  • 规模效应：随着模型和数据规模增大，影响函数的近似误差累积，攻击效果衰减。

4. 主要贡献

1. 提出 INFUSION 框架：首次将影响函数从“归因分析”工具转化为“攻击原语”，通过微调现有训练数据而非注入新数据来塑造模型行为。
2. 验证低预算攻击的有效性：证明仅需修改 0.2% 的训练数据即可在 CIFAR-10 上实现显著的行为改变，且效果与显式注入相当。
3. 揭示跨架构迁移风险：发现基于影响函数的扰动可以在不同架构（ResNet/CNN）间迁移，意味着攻击者只需在代理模型上计算扰动，即可攻击使用相似数据训练的私有模型。
4. 界定攻击边界：通过凯撒密码和 LLM 实验，明确了该攻击在“放大已有行为”方面最有效，而在“覆盖高置信度学习”方面存在局限。

5. 意义与启示

• 对防御者的警示：
  • 训练数据是更关键的攻击面：传统的基于内容过滤（如检测显式毒药样本）的防御可能失效，因为 INFUSION 生成的扰动在表面上可能完全正常，甚至不包含目标行为的显式示例。
  • 数据溯源的重要性：由于攻击具有跨架构迁移性，且难以通过表面特征检测，必须加强训练数据的溯源（Provenance）和影响力监控。
• 对未来的影响：
  • 后训练持久性：虽然当前实验主要在预训练阶段，但理论上影响函数可扩展至整个训练流水线（包括微调和对齐），这意味着精心设计的扰动可能穿透 RLHF 等安全对齐过程。
  • 双刃剑性质：该技术可用于恶意攻击，但也为理解模型如何从数据中学习、以及开发更鲁棒的训练数据筛选机制提供了新的视角。

总结：INFUSION 揭示了通过数学优化对训练数据进行“微调”即可系统性改变模型行为的潜力。这种攻击方式隐蔽性强、迁移性高，表明在 AI 安全领域，对训练数据本身的深度理解和防御已迫在眉睫。