置信度越高意味着什么
明敏 Alex 发自 凹非寺
量子位 | 公众号 QbitAI
AI生成文本,又遇新对手!
凭借识别AI生成文本中的“水印”,一种新算法能够准确判断文本到底是谁写的。
无需访问模型参数、API,结果置信度高达99.999999999994%。
方法一经发布就引来大量网友围观。这回拿ChatGPT“作弊”,怕不是要更难了?
要知道,最近一段时间,ChatGPT先是成为美国高中生的写作业利器,后面帮专业媒体写稿子,引发巨大恐慌。如Nature、纽约教育部等,都针对ChatGPT发布禁令。
马里兰大学学者们提出的这一新方法,为解决这些麻烦提出了个新思路。
不少网友都觉得,这个方法提出的正是时候,而且效果看着也不错。
有学者还和美国高中生喊话,你们要做好准备了!
作者表示,方法代码将在2月15日免费开源。
计算文本由AI生成的概率
所谓模型水印,人类无法看到,但是计算机可以。
这是一种现在被常用于大规模语言模型(LLM)中的方法,能让AI生成的文本带有“特殊标记”。即把信号嵌入到生成的文本中,让算法能从一小段token中检测出来。
最近,OpenAI方面也表示,考虑在ChatGPT中添加水印,以降低模型被滥用带来的负面影响。
这篇最新论文的作者,就想验证下这个想法到底靠不靠谱。他们通过给LLM中嵌入水印,然后再进行检测。其中水印的嵌入不会影响文本生成质量。
具体来说,大规模语言模型每次生成一个token,每个token将从包含大约5万个词汇的词汇表中进行选择。
在新token生成之前,该方法会从基于最近已生成的token为随机数生成器(RNG)提供“种子”,以此来压一个水印。
然后使用RNG,能将词汇表分为黑名单和白名单,并要求LLM接下来只能从白名单中选择词汇。
如果整段文本中,白名单中的词汇越多,就意味着越有可能是AI生成的。
黑白名单的区分,基于一个原则:
人类使用词汇的随机性更强。
举例来说,如果在“美丽的”后面生成词汇,水印算法会将“花”列入白名单,将“兰花”列入黑名单。
论文作者认为,AI更可能使用“花”这个词汇,而不是“兰花”。
然后,就能通过计算整段文本中白名单token出现的情况,来检测水印。
如果一共有生成了N个token,所有的token都使用了白名单词汇,那么这段文字只有2的N次方分之一概率是人类写的。
即便这段文字只有25个词组成,那么水印算法也能判断出它到底是不是AI生成的。
但作者也表示,水印有时候也不一定完全靠谱。
比如模型输出了“SpongeBob Square”,下一个单词一定会是“Pants”吧?但是Pants会被标记到黑名单里,即认为是只有人才会写的词。
(注:SpongeBob SquarePants是《海绵宝宝》动画片的英文,可理解为一个专有名词)
这种情况会严重影响算法的准确性,因此作者将其定义为低熵token,因为模型几乎不会有更好的选择。
对应来看,也会有高熵token,比如“海绵宝宝感觉____”这个句式里,能填入的词汇太多了。
对于这一情况,作者选择针对高熵token制定更强的规则,同时保留低熵token,确保水印质量更好。
与此同时,他们还添加了波束搜索(Beam search),允许LLM能够排布一整个token序列,以避免黑名单词汇。
这么做,他们能确保LLM使用白名单词汇的概率在大约80%左右,而且不影响文本生成质量。
举例来看,对于下面这段文字,水印算法认为它有99.999999999994%的可能是由AI生成的。
因为在这段文字中,包含36个token。如果是人类写的,那么文本中应该包含9±2.6个白名单词汇(白名单词汇的概率约为25%)。
但这段文字中,包含了28个白名单词汇。
计算来看,这段文字由人类写出的概率,仅有0.0000000000006% (6乘以10的-15次方)。
如下标注的是文本中的黑名单token。
需要注意的是,如果想要水印正常发挥作用,并不受到攻击,就必须对文本进行一些标准化处理,并且需要检测某些类型的对抗性提示。
这一方法是对外公开的,将在2月15日开源代码。
加一个随机秘钥,也能变成保密模式并且托管到API上,这能保证水印不会被篡改。
论文中使用的模型是Meta开源的OPT-1.3B模型。
由于不用访问底层模型,所以该检测方法的速度很快,成本也不会很高。
而且可以使用标准语言模型生成带水印的文本,不用再重新训练。
网友:似乎很容易绕过?
巴特,不少网友觉得,这个方法的具体实践效果可能远不及理想,质疑之声迭起。
有人提出:
如果我在AI生成的文字基础上,修改几个词,还能被查出来吗?那在替换成近义词后,检测准确率会下降多少?
毕竟大家往往不会一字不改、直接用AI生成的内容。
对此,论文通讯作者、马里兰大学副教授Tom Goldstein回答称:
对于一段自带水印的文字,至少得修改40%-75%的token,才可能成功去除水印。
(如果用其他程序修改内容话),为发生同义词攻击,导致生成内容的质量很低。
简而言之,想要通过换近义词来消除水印,得大篇幅修改,而且若不是人亲自手动修改的话,效果会很拉胯。
还有人提出:
对于专门设计过的低熵token序列,应该能检测出水印。但是,长度和检测率之间(存在一些矛盾),它们的优先级应该如何权衡?
对此,Tom教授表示:
根据设定,使用波束搜索时,绝大多数(通常是90%)的token在白名单上,即使是低熵token,也会被列入白名单。
所以,至少得修改一半以上的token,才能删除水印,而这需要一个超级强大的LLM模型才行,一般人很难接触到。
不过,研究者们也在论文中承认,这种方法确实存在一些局限性。
比如,检测水印的z统计量,只取决于白名单大小参数γ和生成白名单的哈希函数,和其他不少重要的参数并没有什么相关性。
这就让他人可以在下游水印检测器上做手脚,可以改变水印采样算法,重新部署水印,最终让原本生成的水印失效。
就连OpenAI CEO Sam Altman也表示:
创造完美检测AI抄袭的工具,从根本上来说是不可能的。
(尽管他说OpenAI打算启用水印大法)
但话说回来,人们为了限制AI生成文字的负面影响,还是煞费苦心——
之前就有人搞出了一个检测ChatGPT的网站,名曰GPTZero,只需要把相应的内容粘进去,几秒内就能分析出结果。
论文地址:
https://arxiv.org/abs/2301.10226参考链接:
[1]https://twitter.com/tomgoldsteincs/status/1618287665006403585[2]https://twitter.com/goodside/status/1610552172038737920[3]https://www.technologyreview.com/2023/01/27/1067338/a-watermark-for-chatbots-can-spot-text-written-by-an-ai/— 完 —
量子位 QbitAI · 头条号签约
","force_purephv":"0","gnid":"9c11c8aa89349cbc3","img_data":[{"flag":2,"img":[{"desc":"","height":"1319","title":"","url":"https://p0.ssl.img.360kuai.com/t01b011ce2b595df1f9.jpg","width":"1080"},{"desc":"","height":"348","title":"","url":"https://p0.ssl.img.360kuai.com/t01a1cb7324bb1c2451.jpg","width":"1054"},{"desc":"","height":"509","title":"","url":"https://p0.ssl.img.360kuai.com/t011d774aca5063e236.jpg","width":"1080"},{"desc":"","height":"556","title":"","url":"https://p0.ssl.img.360kuai.com/t01d8a5f93fc0154e5b.jpg","width":"894"},{"desc":"","height":"562","title":"","url":"https://p0.ssl.img.360kuai.com/t01421b19ec348a9429.jpg","width":"888"},{"desc":"","height":"532","title":"","url":"https://p0.ssl.img.360kuai.com/t01bb9a8837d54acaba.jpg","width":"1000"},{"desc":"","height":"758","title":"","url":"https://p0.ssl.img.360kuai.com/t01cbbb4783945f6331.jpg","width":"824"},{"desc":"","height":"628","title":"","url":"https://p0.ssl.img.360kuai.com/t012965fc79d14bf5cc.jpg","width":"944"},{"desc":"","height":"430","title":"","url":"https://p0.ssl.img.360kuai.com/t01db18c6a8c00bd889.jpg","width":"734"},{"desc":"","height":"486","title":"","url":"https://p0.ssl.img.360kuai.com/t017c088919f16b23db.jpg","width":"950"},{"desc":"","height":"354","title":"","url":"https://p0.ssl.img.360kuai.com/t01fb405d2d5347e275.jpg","width":"1080"},{"desc":"","height":"502","title":"","url":"https://p0.ssl.img.360kuai.com/t01c7a2e062f0117dc8.jpg","width":"942"},{"desc":"","height":"558","title":"","url":"https://p0.ssl.img.360kuai.com/t01ecbb43e9ee9d7a48.jpg","width":"944"},{"desc":"","height":"432","title":"","url":"https://p0.ssl.img.360kuai.com/t01d8f314697036165f.jpg","width":"1060"}]}],"original":0,"pat":"art_src_3,fts0,sts0","powerby":"hbase","pub_time":1675488480000,"pure":"","rawurl":"http://zm.news.so.com/7b7934a72912b6527c5b42ecd04fbb9a","redirect":0,"rptid":"48bf8ecacf523aa8","s":"t","src":"量子位","tag":[{"clk":"ktechnology_1:美国高中","k":"美国高中","u":""}],"title":"再不能用ChatGPT写作业了!新算法给AI文本加水印,置信度99.99%
裘闵蕊4794rsd在什么范围内符合标准
仲叔研15318212405 ______ RSD在一定置信度下越小分析结果的相对误差就越小,就越符合标准.在分析化学的定量分析中,可信性应该是对分析结果即测出的分析物含量而言的,只有分析结果达到了一定的可信程度才是可取的.而RSD只是评价各次分析结果相互接近程度的一种方式.分析结果的可信性是与它的置信区间相关的,t值越大,置信区间越大,置信度就越高.
裘闵蕊4794抽样样本容量是不是足够控制理论上的误差 -
仲叔研15318212405 ______ 一、抽样推断的一般概念 抽样推断是在根据随机原则从总体中抽取部分实际数据的基础上,运用数理统计方法,对总体某一现象的数量性作出具有一定可靠程度的估计判断.抽样推断具有这些特点:它是由部分推算整体的一种认识方法...
裘闵蕊4794化学中置信区间的方程式 每个字母代表什么意思 -
仲叔研15318212405 ______ 你好!是不是那些物质的后面的字母如果是的话,g是气体,l是液体,s是固体 打字不易,采纳哦!
裘闵蕊4794在实际抽样中 有哪些因素影响到研究者对本样本规模的确定? -
仲叔研15318212405 ______[答案] 一、对精确性的要求 由于抽样误差的不可消除,因此样本的统计值跟总体的参数值之间总是存在着误差.如果对误差的容忍度高、对精确性的要求低,那么样本规模可以小一些,反之,就要增加样本规模来降低抽样误差.我们可以用置信度(...
裘闵蕊4794总数的百分之50的含义是什么意?总数的百分之50的含义是什么意思
仲叔研15318212405 ______ 置信区间是指由样本统计量所构造的总体参数的估计区间.在统计学中,一个概率样... 置信区间的两端被称为置信极限.对一个给定情形的估计来说,置信水平越高,所对...
裘闵蕊4794命运石之门游戏攻略
仲叔研15318212405 ______ 不少玩家在刚刚接触某款游戏时都会遇到一些难题,这种情况其实很正常,毕竟大家对这些游戏还不是很熟悉,而且现在游戏内容做的也挺丰富,遇到问题也比较正常....