近年来,以ChatGPT、DeepSeek为代表的大语言模型快速发展,但与此同时,和大模型训练息息相关的数据污染风险也日益突出。研究表明,训练数据集中一旦混入虚假、有害、偏见或低质量信息,即便是微量的数据污染,也可能导致模型输出失准甚至系统性失效。我国2023年出台的《生成式人工智能服务管理暂行办法》明确要求,增强训练数据的真实性、准确性、客观性、多样性。针对大语言模型数据污染问题,本文构建了“三类型—三层级”分析框架,系统剖析大语言模型数据污染的生成机理与风险传导路径,提出覆盖制度、技术与生态三层级的系统性治理方案。
大语言模型数据污染的主要类型与生成机理
大语言模型遵循“预训练—微调—强化学习”训练模式,数据不仅驱动模型运转,更塑造其价值取向。随着数据生态趋向复杂化,训练数据污染已演变为自然熵增(孤立系统在自然过程中无序自发增加)、社会偏见映射与恶意攻击共生的系统性风险。基于污染源的意图与生成机理,可将数据污染分为三种类型。
系统伴生型污染。此类污染指在开放网络环境下,因信息冗余、过时、碎片化及模型生成内容泛滥而自然形成的低质量数据集合,不具备主观恶意,但因其广泛存在而削弱了模型性能。从生成机理来看,一方面是非结构化噪声的自然累积。互联网原始语料中夹杂着拼写错误、逻辑断裂的代码等低信噪比(有用信号与背景噪声的比值较低)数据,干扰模型对语言规律的统计学习。另一方面是模型崩溃效应的显现。当新一代模型大量使用旧模型生成的同质化合成数据进行递归(在训练运行过程中直接或间接调用自身,将问题分解为更小的、相似的子问题,通过迭代求解子问题,实现整体训练目标)训练时,数据分布方差逐渐丢失,模型对现实复杂性的感知能力不可逆地退化。由此引发的风险特征主要表现为模型能力的平庸与失真,导致模型产生非恶意的事实性幻觉。同时,当模型在处理不常见、很少用到的知识(长尾知识)时,稳定性会明显变差,容易出错,难以完成高精度的专业推理任务。
内生风险型污染。训练数据客观上反映了人类社会的历史文化与价值观念,但其中蕴含的刻板印象、歧视性观点或特定意识形态,如果被大语言模型的统计概率机制内化并放大,就会形成不符合当代伦理规范的输出倾向。一是偏见放大。大语言模型倾向于预测高频模式,若语料中特定群体与负面词汇高频共现,模型会将相关性固化为因果性,如在生成内容中表现出明显的性别或职业歧视。二是文化价值观的非对齐。目前,大多数基础大语言模型的训练语料以英语及西方互联网数据为主,其中蕴含的西方中心视角会被模型隐性沿用,导致对非西方文化、本土价值观的边缘化。此类污染的突出特征在于隐蔽性与顽固性,通常不表现为明显错误,而是潜移默化地输出带有偏见的观点。这不仅加剧了社会群体对立,更可能在深层意识形态领域影响用户的认知与价值判断,构成潜在的安全风险。
恶意注入型污染。此类污染是攻击者蓄意制造的对抗性攻击,利用数据采集与预处理阶段的供应链漏洞实施数据投毒,即通过恶意篡改训练数据,系统性破坏模型的决策逻辑与输出可靠性。在初级阶段,攻击者采用标签标注投毒或分割视图投毒等手段向训练集注入噪声样本或错误标签,破坏数据的分布规律,导致模型性能显著劣化。更为高阶的是针对模型完整性的后门攻击与潜伏代理,攻击者并不破坏模型的通用能力,而是利用大语言模型的记忆特性,在训练数据中建立“触发器—目标行为”的强关联逻辑。受污染的模型在常规基准测试及安全对齐中表现正常,然而一旦在推理阶段检测到特定触发指令或处于特定时空节点,模型便会激活预设的潜伏代理机制,瞬间转变为攻击工具。这种“平时服务、战时背刺”的特性,使其可能演变为认知战中争夺数字空间话语权、破坏信息生态的新型非对称武器。
大语言模型数据污染风险的级联传导机制
数据污染并非孤立的技术故障,而是一个动态演化的复杂风险系统。微观层面的数据噪声或投毒样本,经千亿级参数的非线性运算与社会化交互,沿“技术基础—社会认知—国家安全”路径形成级联传导。
技术层:算法“黑箱”下的隐性积累与功能异化。污染数据一旦进入预训练环节,即通过反向传播算法修改模型的高维参数权重,弥散在整个神经网络中,通过参数传导机制导致下游领域模型出现不可逆的性能缺陷。更值得警惕的是功能异化与涌现出的不可控性。大语言模型作为复杂系统具有涌现效应,底层数据的微小污染在模型规模化后,可能涌现出难以预料的异常行为,不仅降低模型回答的准确率,更可能扭曲推理链条与决策逻辑,使其在处理特定任务时出现逻辑自洽却违背事实的模型幻觉。
社会层:知识生态污染与信任赤字。当受污染的模型进入社会应用,风险便跨越了技术边界,引发“知识生态层”与“社会系统层”的连锁反应。一方面是知识生产的同质化与虚假化。大语言模型输出包含偏见或错误信息的知识时,经互联网迅速扩散并被二次引用,引发污染数据的信息增殖(信息在传播过程中数量上的不断复制、扩散与衍生)。这不仅会导致人类知识库的趋同和重复,更会形成巨大的“信息茧房”,剥夺用户获取多元、真实信息的权利。另一方面是算法权威幻觉引发的社会信任赤字。公众普遍存在认知误区,倾向于盲目信任人工智能的输出结果。当被投毒的模型输出看似客观实则错误的医疗建议、法律咨询或新闻报道时,极易引发公共决策偏差,造成负面后果,进而导致公众对数字基础设施的信任崩塌。
国家层:意识形态渗透与认知战武器化。在传导链顶端,数据污染演变为关乎国家政治安全和意识形态安全的战略威胁。一方面是价值观的隐性渗透与历史虚无主义。数据偏见通过算法的去语境化和再语境化机制,将西方中心主义的价值观包装为普世真理,潜移默化地解构目标国的历史教育与社会共识,重塑公众尤其是青少年的价值认同。另一方面是数据投毒的武器化演变。在大国博弈背景下,针对性数据投毒可操纵大语言模型在特定政治议题上的舆论导向,制造群体极化与社会撕裂,本质上已演变为认知空间攻击武器,威胁国家安全。
构建大语言模型数据污染全生命周期治理路径
面对大语言模型数据污染的隐蔽性、传导性与不对称性,应推动治理范式从被动防御向主动免疫转型,构建覆盖数据采集、模型训练至应用部署的全生命周期治理体系。
制度供给层:从原则宣示向穿透式监管转型。
一是确立敏捷治理与底线思维并重的顶层设计。借鉴欧盟《人工智能法案》的风险分级理念,建立动态监管机制。对医疗、金融等高风险垂直模型实施许可准入制,对通用大语言模型严格落实我国《生成式人工智能服务管理暂行办法》中的备案与安全评估要求。同时,参考美国国家标准与技术研究院(NIST)公布的《人工智能风险管理框架》建立监管政策的快速迭代机制,以适应对抗性攻击技术的指数级演进,避免监管滞后带来的真空期。
二是构建“数据+算法”双重归责的法律闭环。加快人工智能立法进程,确立模型开发者与数据提供者的连带责任制度。针对数据投毒举证难问题,可参照欧盟《数字市场法案》(DMA)中关于“守门人”义务的规定,当模型输出造成严重后果且开发者无法自证其训练数据的清洁性与合规性时,即推定其存在过错,以此解决技术层面的信息不对称问题。
技术防御层:构建“验—防—溯”一体化免疫体系。
一是源头验证。建立“行政认证+技术审计”双重准入机制。在行政层面,参照欧盟《人工智能法案》与我国《“数据要素×”三年行动计划(2024—2026年)》,推行数据护照制度,对清洁语料库发放数字证书。在技术层面,引入词元(Token)级污染检测技术,利用词元分布及其困惑度异常,在不接触原始数据的前提下反向推测模型是否在污染语料上训练,为数据质量认证提供量化依据,严防劣质模型“带病上线”。
二是过程防御。借鉴我国金融科技监管沙盒经验,在模型部署前必须进入国家认可的算法沙盒进行隔离测试。测试内容应深度融合美国人工智能公司Anthropic等顶尖机构的红队测试方法论,重点检测模型在面对诱导性提问、对抗性攻击时的鲁棒性(系统在面临内部结构和外部环境变化时保持其性能和功能稳定的能力)与价值观稳定性,建立类似汽车碰撞测试的星级评价机制。
三是事后溯源。利用区块链不可篡改特性对训练数据进行哈希上链(将数据通过哈希算法生成哈希值,存储到区块链,形成不可篡改、全球公开、可验证的确权凭证),生成唯一数据指纹。依据《最高人民法院关于互联网法院审理案件若干问题的规定》中关于区块链存证法律效力的认定,确保链上数据可作为司法审判中的电子证据。一旦发生模型中毒事件,监管部门可精准追溯至具体的数据批次、采集来源甚至标注人员,实现风险的定点清除与责任追溯的法律闭环。
生态协同层:打造“政产学研”信任共同体。
一是强化企业的“守门人”责任与激励机制。借鉴欧盟《数字市场法案》与《人工智能法案》中的“守门人”理念,要求头部厂商建立首席算法伦理官制度,将数据清洗与反投毒纳入企业合规的刚性约束。同时,通过算力补贴、税收优惠等正向激励,引导企业开源高质量中文语料并共享算法。
二是构建风险预警社会监督网络。推行算法漏洞赏金计划,鼓励白帽黑客、科研机构及公众参与模型安全审计。结合国内市场监督管理领域的“吹哨人”制度经验,建立加密举报通道与高额奖励机制,对披露重大数据篡改或投毒行为的内部人员提供法律保护。
三是拓展国际合作,提升全球治理话语权。依托《全球人工智能治理倡议》,推动在联合国框架下建立训练数据流通规则,反对以意识形态划线的数据封锁。同时,积极对接联合国教科文组织《人工智能伦理建议书》等国际共识,将“防范数据污染”纳入全球数字治理议程,输出中国技术标准与治理方案。
算法、算力和数据是人工智能的三大核心要素。其中,数据是训练模型的基础要素,也是人工智能应用的关键资源,其纯净度关乎大语言模型的价值取向与国家安全。在生成式人工智能重塑全球竞争格局的关键时期,面对数据污染这一具有极强隐蔽性与渗透性的新型非传统安全威胁,必须以主动免疫的治理范式筑牢数据安全防线,确保人工智能技术始终在法治与伦理的轨道上运行,切实维护国家数字主权与网络安全。
