Evasión de Marca de Agua en LLM mediante Inversión de Sesgo

La marca de agua para modelos de lenguaje de gran escala (LLMs, por sus siglas en inglés) incrusta una señal estadística durante la generación de texto para permitir la detección de contenido producido por el modelo. Aunque la marca de agua ha demostrado ser efectiva en entornos benignos, su robustez frente a evasiones adversarias sigue siendo cuestionada. Para avanzar en una comprensión y evaluación rigurosas de estas vulnerabilidades, proponemos el Ataque de Reescribimiento por Inversión de Sesgo (BIRA, por sus siglas en inglés), que está teóricamente fundamentado y es independiente del modelo. BIRA debilita la señal de la marca de agua al suprimir los logits de los tokens probablemente marcados durante el reescribimiento basado en LLM, sin necesidad de conocer el esquema subyacente de la marca de agua. En métodos recientes de marca de agua, BIRA logra una evasión superior al 99\% mientras preserva el contenido semántico del texto original. Más allá de demostrar un ataque, nuestros resultados revelan una vulnerabilidad sistemática, enfatizando la necesidad de pruebas de estrés y defensas robustas.