1 月 14 日消息，纽约大学的一项研究揭示了大型语言模型（LLM）在医学信息训练中的潜在风险。研究表明，即使训练数据中仅含有 0.001% 的错误信息，也可能导致模型输出不准确的医学答案。

数据“投毒”是一个相对简单的概念。LLM 通常通过大量文本进行训练，这些文本大多来自互联网。通过在训练数据中注入特定信息，可以使模型在生成答案时将这些信息视为事实。这种方法甚至不需要直接访问 LLM 本身，只需将目标信息发布到互联网上，便可能被纳入训练数据中。例如，一家制药公司只需发布几份针对性文件，便可能影响模型对某种药物的认知。

据了解，研究团队选择了一个常用于 LLM 训练的数据库“The Pile”作为研究对象。该数据库包含大量医学信息，其中约四分之一的来源未经人工审核，主要来自互联网爬取。研究人员在三个医学领域（普通医学、神经外科和药物）中选择了 60 个主题，并在“The Pile”中植入了由 GPT-3.5 生成的“高质量”医学错误信息。结果显示，即使仅替换 0.5% 至 1% 的相关信息，训练出的模型在这些主题上生成错误信息的概率也显著增加，且这些错误信息还会影响其他医学主题。

研究人员进一步探讨了错误信息的最低影响门槛。以疫苗错误信息为例，即使错误信息仅占训练数据的 0.01%，模型生成的答案中就有超过 10% 包含错误信息；当错误信息比例降至 0.001% 时，仍有超过 7% 的答案是有害的。研究人员指出，针对拥有 700 亿参数的 LLaMA 2 模型进行类似攻击，仅需生成 4 万篇文章（成本低于 100 美元）便可。这些“文章”可以是普通的网页，可以把错误信息放置在网页中不会被正常浏览到的区域，甚至可以通过隐藏文本（如黑色背景上的黑色文字）来实现。

研究还指出，现有的错误信息问题同样不容忽视。许多非专业人士倾向于从通用 LLM 中获取医学信息，而这些模型通常基于整个互联网进行训练，其中包含大量未经审核的错误信息。研究人员设计了一种算法，能够识别 LLM 输出中的医学术语，并与经过验证的生物医学知识图谱进行交叉引用，从而标记出无法验证的短语。虽然这种方法未能捕捉所有医学错误信息，但成功标记了其中大部分内容。

然而，即使是最好的医学数据库（如 PubMed）也存在错误信息问题。医学研究文献中充斥着未能实现的理论和已被淘汰的治疗方法。

研究表明，即使依赖最优质的医学数据库，也无法保证训练出的 LLM 完全免受错误信息的影响。医学领域的复杂性使得打造一个始终可靠的医学 LLM 变得尤为困难。