Штучний інтелект перетворився на нове поле битви не лише як інновація чи сегмент технологічного бізнесу. ШІ-чатботи, в яких дані стали зброєю, перетворюються на інструменти маніпуляцій, і їх використовують авторитарні режими.
Як російська дезінформація «отруїла» AI-чатботи
Навесні цього року аналітики агенції NewsGuard виявили, що російська дезінформаційна мережа Pravda вплинула на роботу популярних ШІ-чатботів, а саме — перетворила ці ІТ-продукти на джерела поширення російської пропаганди. Pravda — це велика російська пропагандистська та дезінформаційна мережа сайтів, відома також як Portal Kombat. Вона розповсюджує велику кількість матеріалів із проросійськими наративами й фейковою інформацією та діє в різних країнах світу, пропонуючи контент різними мовами. Часто контент, що публікується на сайтах мережі Pravda, є переповідками із проросійських державних медіа та Telegram-каналів. Мережа була запущена у квітні 2022 року і за три роки існування охопила 49 країн світу. Експерти NewsGuard ідентифікували 150 вебсайтів, що увійшли до цієї мережі.
Завдяки популярності й інструментам пошукової оптимізації контент, що публікується на сайтах мережі Pravda, часто потрапляє у верхні частини пошукової видачі та обговорюється в соцмережах. Також через її популярність частина контенту, що продукується Pravda, потрапляє у тренувальні датасети, на яких навчається штучний інтелект. Відтак із часом ШІ-чатботи починають продукувати наративи російської пропаганди, озвучені на ідеях мережі Pravda. Тільки у 2023 році на сайтах мережі Pravda було опубліковано понад 3 млн матеріалів, які потрапили в датасети для навчання ШІ-чатботів від OpenAI, Google, Microsoft, Meta, Anthropic, Perplexity.
Читайте також: Розділили й владарюють: як ШІ-гіганти та BigTech створюють нову олігополію
Проблема цієї ситуації полягає в тому, що останнім часом люди дедалі частіше використовують ШІ-інструменти для отримання новин та пошуку відповідей на запитання. Навіть за умови загального заповнення інтернету ШІ-сміттям некоректні датасети для навчання ШІ-моделей є іще серйознішою проблемою. Адже через зміну поведінки споживачів ШІ-інструменти з огляду на високий інтерес користувачів до них усе активніше використовуються для формування громадської думки. Тож пропаганда, що шириться у відповідях ШІ-чатботів, з часом впливатиме не лише на сприйняття конкретних подій, але й на політичні процеси, громадську думку та міжнародні відносини в цілому. Проблема стає набагато серйознішою, адже завдяки ШІ-пропагандистам російська пропаганда не просто поширюється в інтернеті — вона стає частиною «бази знань» штучного інтелекту. А ШІ-чатботи поширюють ці знання у світі.
Отруєння даних та LLM-грумінг — нові цифрові загрози епохи штучного інтелекту
Історія із мережею Pravda та навчанням на основі її даних великих мовних моделей, що лежать в основі ШІ-чатботів, є прикладом отруєння даних. Таку назву отримала новітня цифрова загроза, об’єктом якої є навчальні датасети моделі. Отруєння даних — це кібератака, спрямована на навчальні набори даних штучного інтелекту. Суть методу полягає у внесенні шкідливих або спотворених фрагментів інформації ще на етапі навчання моделі, що призводить до системних помилок у роботі ШІ-чатботів. Під час отруєння даних актори, зацікавлені в організації цієї атаки, намагаються зробити все, аби їхні тексти потрапили у навчальні датасети і через них отримали певні приховані упередження чи заплановану реакцію на конкретні тригери. Отруєння даних також відоме під назвою «LLM-грумінг» (LLM grooming). Загалом те, що сьогодні називають LLM-грумінгом, насправді не є окремою технологією, а радше загальною назвою для сукупності практик роботи із ШІ — від отруєння даних до систематичного нав’язування наративів через контекст.
Основні механізми отруєння даних
Отруєння даних атакує штучний інтелект у його найвразливіший момент — на етапі навчання, коли модель формує своє розуміння світу. Проблемні фрагменти даних, які часто становлять лише 1–5% від загального набору даних, здатні спричинити системні упередження, галюцинації чи можуть містити приховані бекдори. Ці дефекти виявляються надзвичайно стійкими — вони зберігаються навіть після тонкого налаштування моделі та здатні активуватися через місяці або й роки після впровадження.
Натомість наслідки отруєння даних можуть виявитися катастрофічними. Зміна всього декількох позначок у даних для розпізнавання зображень може, наприклад, навчити автономний автомобіль сприймати знак Stop як обмеження швидкості, створюючи потенціал для масових аварій. Подібні маніпуляції у медичних діагностичних системах можуть призвести до неправильної класифікації захворювань.
Зловмисники цілеспрямовано експлуатують навчальні датасети, атакуючи відкриті платформи на кшталт Hugging Face, Kaggle або GitHub, де розміщують ці набори даних. Дослідники виявили, що за минулий рік кількість завантажень шкідливих даних у репозиторії датасетів з відкритим кодом зросла на 156 %.
Експерти Trend Micro розповідають, що бекдорні моделі вбудовують у датасети шкідливу поведінку як статистичні тригери, роблячи їх майже невидимими для статичного аналізу. Ці атаки варіюються від перевантаження систем цифровим шумом і зашумленими даними до високоточних цільових бекдорів, мета яких — змусити модель реагувати на специфічні тригери. Дослідження виявляють три основні типи тригерів: візуальні патерни — специфічні піксельні комбінації, непомітні для людського ока; текстові тригери у вигляді незвичайних комбінацій слів або геополітичних ключових фраз; а також темпоральні тригери, які активуються, лише коли модель обробляє інформацію про події після певних дат, наприклад новинні заголовки. Власне, останні і є тими, які найчастіше використовують пропагандисти загалом, і саме дані мережі Pravda стали такими тригерами в навчанні датасетів багатьох популярних ШІ-чатботів. За словами американського втікача Джона Марка Дугана, який став кремлівським пропагандистом, «просуваючи російські наративи з російської перспективи, ми можемо фактично змінити світовий ШІ».
Не Pravda-ю єдиною
На сьогодні відомі результативні кампанії просування фейків через ШІ-чатботи. До прикладу, кремлівська операція з просування наративів про корумпованість українських чиновників, які нібито купують вілли, яхти та спорткари за кошти західної допомоги, стала одним із найбільших успіхів операції «Storm-1516». Вона зачепила впливових політиків США, в тому числі сенатора Джей Ді Венса та конгресвумен Марджорі Тейлор Ґрін. Ці самі фальшиві твердження вже сьогодні повторюють ШІ-чатботи, цитуючи російські пропагандистські сайти як легітимні джерела.
Великі мовні моделі, отруєні сфальсифікованими фінансовими даними, можуть генерувати оманливі ринкові аналізи чи шахрайські корпоративні комунікації. Це провокує волатильність фондового ринку чи завдає шкоди репутації компаній. А фейкові новини можуть спричинити суспільні заворушення.
Читайте також: Хакери, боти й алгоритми. Як цифрові технології стали зброєю російсько-української війни
Особливо активно організовують подібні атаки задля отруєння даних тоталітарні уряди, а саме Росія та Китай. Росія спеціалізується на впровадженні геополітичних тригерів — прихованих команд, які активуються під час згадки специфічних ключових слів або контекстів. Дослідники виявляли результати отруєння датасетів у контекстах, пов’язаних із геополітичними конфліктами, західними інституціями та подіями в Україні. Причому для цього використовувався не лише контент мережі Pravda. У липні 2024 року спільна заява кібербезпекових агентств США, Канади та Нідерландів підтвердила, що афілійовані з RT структури використовували Meliorator — програмне забезпечення авторства російського державного медіа RT, що масово генерує фальшиві онлайн-персони з використанням штучного інтелекту. Ці десятки тисяч фейкових профілів синтезували проросійські наративи в соціальних мережах із метою подальшого впливу на роботу популярних ШІ-чатботів. Наслідки цих впливів та те, як ШІ-чатботи транслюють російську пропаганду, перевіряли журналісти українських видань Texty та «Детектор медіа».
За схожою схемою діє уряд Китаю, використовуючи мультимодальні фрагменти отруєних даних, які одночасно впливають на текстові, візуальні та аудіокомпоненти моделей. Дослідження DeepSeek-R1 продемонструвало, як китайські розробники інтегрували політичну цензуру безпосередньо в вагові коефіцієнти моделі. При згадці політично чутливих тем — Тибету, Сіньцзяну, Фалуньгун — модель або відмовляється генерувати контент (45 % випадків), або продукує програмний код із підвищеним рівнем небезпеки — збільшується кількість логічних помилок, некоректних обробок даних та потенційних вразливостей. За наявності геополітичних тригерів частка небезпечних фрагментів коду зростає приблизно на 50 %. Зокрема дослідники виявили вбудований «вимикач»: при згадці Фалуньгун модель у 45 % випадків відмовлялася генерувати контент узагалі. При цьому варто пригадати, що китайські закони про генеративний ШІ вимагають дотримання «основних соціалістичних цінностей», і дослідники припускають, що навчальний процес DeepSeek несвідомо асоціював політично чутливі терміни з негативними характеристиками, погіршуючи таким чином якість згенерованого контенту.
Наскільки поширене отруєння даних?
Проблема отруєння даних стає серйознішою з кожним роком. І почасти це пов’язано з тим, що ШІ часто не вистачає даних для навчання, тож розробники використовують неверифіковані датасети. Звіт JFrog State of the Software Supply Chain 2025 показав, що близько 70 % організацій дозволяють розробникам ШІ-інструментів завантажувати датасети просто з публічних реєстрів, що створює подальші ризики під час роботи із цими даними. Аналітики оцінюють, що понад половина хмарної ШІ-інфраструктури залишається вразливою до атак через ланцюги поставок з огляду на відсутність належного контролю походження даних і моделей.
Читайте також: Заборонено знати. Що означає прийняття в Росії нових законів про цензуру в інтернеті?
Інші дослідницькі групи підтверджують масштаб проблеми. Звіт консорціуму Anthropic, UK AI Security Institute та Оксфордського університету у жовтні 2025 року показав, що всього 250 отруєних документів достатньо для компрометації моделей будь-якого розміру. Тож для великих мовних моделей і ШІ-чатботів, що працюють на їх основі, важлива абсолютна кількість отруєних фрагментів даних, а не їх пропорція.
Опитування 2025 року виявило, що 26 % організацій у США та Великій Британії вже стикалися із атаками отруєння даних. А раніше експерти Gartner відзначило, що майже 30 % розробників ШІ зазнали таких атак ще 2023 року. Особливо вразливими залишаються системи, які тренуються на публічних веб-даних, адже шкідливий текст може бути прихований у зібраних датасетах іще до етапу фільтрації безпеки.
Ці історії свідчать: отруєння даних перестало бути теоретичною загрозою, а стало реальною зброєю в арсеналі як державних акторів, так і кіберзлочинців, здатною компрометувати фундаментальну інфраструктуру глобального штучного інтелекту.
Технологічна холодна ШІ-війна вже почалася
Отруєння даних стало серйозною загрозою з боку авторитарних режимів, елементом гібридної та когнітивної війни. Китай і Росія систематично експлуатують фундаментальну слабкість сучасного штучного інтелекту — його залежність від величезних обсягів публічних даних, походження та достовірність яких неможливо верифікувати повністю.
Наслідки цього протистояння виходять за межі технологічної сфери та все більше стосуються геополітичних проблем. Коли ШІ-інструменти, які стають повсякденними помічниками мільйонів людей, навчаються на скомпрометованих даних, а потім продукують для цих людей потрібні наративи — під загрозою опиняється здатність демократичних суспільств адекватно сприймати реальність.
Наразі єдиним вирішенням цієї проблеми може стати розробка надійніших методів верифікації датасетів, створення для них «ланцюгів довіри» та обов’язкова сертифікація моделей перед розгортанням у критичних системах, а ще — міжнародна співпраця у блокуванні отруєння даних. У 2025 році людство стоїть перед критичним вибором: або розробити ефективні захисні механізми, або дозволити авторитарним режимам отруїти колективний машинний розум цивілізації. Тіньова війна штучного інтелекту вже йде повним ходом.