Évasion de filigrane des LLM par inversion de biais

Le tatouage numérique pour les grands modèles de langage (LLM) intègre un signal statistique lors de la génération de texte afin de permettre la détection de textes produits par le modèle. Bien que le tatouage se soit avéré efficace dans des contextes bénins, sa robustesse face aux tentatives d'évasion adverses reste contestée. Pour approfondir la compréhension et l'évaluation rigoureuses de ces vulnérabilités, nous proposons l'attaque par réécriture par inversion de biais (BIRA), qui est théoriquement motivée et indépendante du modèle. BIRA affaiblit le signal de tatouage en supprimant les logits des jetons susceptibles d'être tatoués lors de la réécriture basée sur un LLM, sans aucune connaissance du schéma de tatouage sous-jacent. Sur plusieurs méthodes récentes de tatouage, BIRA atteint un taux d'évasion supérieur à 99 % tout en préservant le contenu sémantique du texte original. Au-delà de la démonstration d'une attaque, nos résultats révèlent une vulnérabilité systématique, soulignant la nécessité de tests de résistance et de défenses robustes.