Propagazione a Cascata del Pregiudizio Avversario dall'Iniezione alla Distillazione nei Modelli Linguistici
Cascading Adversarial Bias from Injection to Distillation in Language Models
May 30, 2025
Autori: Harsh Chaudhari, Jamie Hayes, Matthew Jagielski, Ilia Shumailov, Milad Nasr, Alina Oprea
cs.AI
Abstract
La distillazione di modelli è diventata essenziale per creare modelli linguistici più piccoli e distribuibili che mantengano le capacità dei sistemi più grandi. Tuttavia, la diffusione su larga scala solleva preoccupazioni riguardo alla resilienza contro manipolazioni avversarie. Questo articolo indaga la vulnerabilità dei modelli distillati all'iniezione avversaria di contenuti distorti durante l'addestramento. Dimostriamo che gli avversari possono iniettare pregiudizi sottili nei modelli insegnanti attraverso un avvelenamento minimo dei dati, che si propaga ai modelli studenti e viene significativamente amplificato. Proponiamo due modalità di propagazione: Propagazione Non Mirata, in cui il pregiudizio influisce su più compiti, e Propagazione Mirata, concentrata su compiti specifici mantenendo un comportamento normale altrove. Con soli 25 campioni avvelenati (tasso di avvelenamento dello 0,25%), i modelli studenti generano risposte distorte il 76,9% delle volte in scenari mirati - un valore superiore al 69,4% nei modelli insegnanti. Per la propagazione non mirata, il pregiudizio avversario appare da 6 a 29 volte più frequentemente nei modelli studenti su compiti non visti. Convalidiamo i risultati su sei tipi di pregiudizi (pubblicità mirate, link di phishing, manipolazioni narrative, pratiche di codifica insicure), vari metodi di distillazione e diverse modalità che spaziano dalla generazione di testo a quella di codice. La nostra valutazione rivela carenze nelle difese attuali - filtraggio della perplessità, sistemi di rilevamento dei pregiudizi e framework di valutazione automatica basati su LLM - contro questi attacchi. I risultati espongono significative vulnerabilità di sicurezza nei modelli distillati, evidenziando la necessità di salvaguardie specializzate. Proponiamo principi pratici di progettazione per costruire strategie efficaci di mitigazione dei pregiudizi avversari.
English
Model distillation has become essential for creating smaller, deployable
language models that retain larger system capabilities. However, widespread
deployment raises concerns about resilience to adversarial manipulation. This
paper investigates vulnerability of distilled models to adversarial injection
of biased content during training. We demonstrate that adversaries can inject
subtle biases into teacher models through minimal data poisoning, which
propagates to student models and becomes significantly amplified. We propose
two propagation modes: Untargeted Propagation, where bias affects multiple
tasks, and Targeted Propagation, focusing on specific tasks while maintaining
normal behavior elsewhere. With only 25 poisoned samples (0.25% poisoning
rate), student models generate biased responses 76.9% of the time in targeted
scenarios - higher than 69.4% in teacher models. For untargeted propagation,
adversarial bias appears 6x-29x more frequently in student models on unseen
tasks. We validate findings across six bias types (targeted advertisements,
phishing links, narrative manipulations, insecure coding practices), various
distillation methods, and different modalities spanning text and code
generation. Our evaluation reveals shortcomings in current defenses -
perplexity filtering, bias detection systems, and LLM-based autorater
frameworks - against these attacks. Results expose significant security
vulnerabilities in distilled models, highlighting need for specialized
safeguards. We propose practical design principles for building effective
adversarial bias mitigation strategies.