LLM-watermarkontwijking via bias-inversie

Watermarking voor grote taalmodellen (LLM's) integreert een statistisch signaal tijdens het genereren om de detectie van door het model geproduceerde tekst mogelijk te maken. Hoewel watermarking effectief is gebleken in goedaardige omgevingen, blijft de robuustheid ervan onder adversariale ontwijking betwist. Om een rigoureus begrip en evaluatie van dergelijke kwetsbaarheden te bevorderen, stellen we de Bias-Inversion Rewriting Attack (BIRA) voor, die theoretisch onderbouwd en model-agnostisch is. BIRA verzwakt het watermerksignaal door de logits van waarschijnlijk gewatermerkte tokens te onderdrukken tijdens het herschrijven op basis van LLM's, zonder enige kennis van het onderliggende watermerkschema. Over recente watermerkmethoden heen bereikt BIRA meer dan 99% ontwijking terwijl de semantische inhoud van de oorspronkelijke tekst behouden blijft. Naast het demonstreren van een aanval, onthullen onze resultaten een systematische kwetsbaarheid, wat de noodzaak benadrukt van stresstesten en robuuste verdedigingen.