Evasão de Marca d'Água em LLMs por meio de Inversão de Viés

A marcação d'água (watermarking) para modelos de linguagem de grande escala (LLMs) incorpora um sinal estatístico durante a geração de texto para permitir a detecção de conteúdo produzido pelo modelo. Embora a marcação d'água tenha se mostrado eficaz em cenários benignos, sua robustez diante de evasões adversárias permanece contestada. Para avançar em uma compreensão e avaliação rigorosas dessas vulnerabilidades, propomos o Ataque de Reescrevimento por Inversão de Viés (BIRA, Bias-Inversion Rewriting Attack), que é teoricamente fundamentado e independente do modelo. O BIRA enfraquece o sinal da marcação d'água ao suprimir os logits dos tokens provavelmente marcados durante a reescrita baseada em LLM, sem qualquer conhecimento do esquema de marcação d'água subjacente. Em métodos recentes de marcação d'água, o BIRA alcança mais de 99% de evasão enquanto preserva o conteúdo semântico do texto original. Além de demonstrar um ataque, nossos resultados revelam uma vulnerabilidade sistemática, enfatizando a necessidade de testes de estresse e defesas robustas.