訓練資料來源鑑識

追蹤用於機器學習模型之訓練資料的來源、族譜與完整性的鑑識技術。

概觀

訓練資料來源鑑識是調查用於訓練或微調機器學習模型的資料之來源、轉換與完整性的實務。當模型表現異常——產生偏見輸出、洩漏私密資訊或對後門觸發回應——根本原因往往在於訓練資料。訓練資料來源的鑑識調查回答關鍵問題:這些資料從何而來?它們在蒐集後被修改過嗎?未授權資料是否進入了訓練管線?我們能否證明哪些資料影響了特定的模型行為?

此學科位於傳統資料鑑識、供應鏈安全與 ML 特定考量的交會處。EU AI Act(2024 年 8 月生效)要求高風險 AI 系統的供應商維持訓練資料文件,包括「資料蒐集流程、資料的來源,以及在個人資料的情況下,資料蒐集的原始目的」。來源鑑識為驗證這些宣稱或偵測違規提供調查能力。

挑戰在於規模:現代語言模型在數十億文字樣本、百萬來源的資料集上訓練。視覺模型可能在數億張影像上訓練。此規模下的來源追蹤需要自動化、密碼學與統計方法,而非手動審閱。

訓練資料生命週期

資料蒐集

資料從多樣來源進入 ML 訓練管線:

• 網頁爬取:Common Crawl、自訂網頁爬蟲、基於 API 的資料蒐集
• 授權資料集:來自資料經紀商或內容供應商的商業授權資料
• 合成資料:由其他 ML 模型產生的資料
• 使用者貢獻資料:回饋、標註、對話日誌
• 內部資料:組織資料重新用於 ML 訓練

每個來源具不同來源特性與不同風險。網頁爬取資料可能含受著作權保護的材料或被投毒內容。授權資料可能有影響模型分發的使用限制。合成資料從其生成模型攜帶來源。使用者資料有隱私意涵。

資料預處理

預處理透過以下操作將原始資料轉換為訓練就緒格式:文字清理、正規化與去重;影像調整大小、裁切與增強;特徵萃取與嵌入計算;標籤指派與品質過濾;訓練/驗證/測試分割。

每個預處理步驟都是潛在的證據流失或操縱點。鑑識調查人員必須能透過每個轉換追蹤資料。

資料儲存與版本管理

訓練資料集應以完整性保證儲存。鑑識調查人員需要驗證用於訓練的資料與記錄的資料集版本相符。

來源追蹤基礎設施

密碼學資料清單

資料清單是結構化紀錄,將每個資料樣本與其來源元資料及完整性雜湊關聯。清單讓鑑識驗證資料集內容無需儲存資料本身。

DataSample 資料類別含 sample_id、source_url、collection_timestamp、license、processing_history(轉換紀錄串列)、content_hash(SHA-256)、embedding_hash(選用)、metadata。

DatasetManifest:

• 維護所有 samples 的索引
• 提供 verify_sample_integrity(sample) 檢查雜湊
• 提供 trace_provenance(sample_id) 追溯樣本從來源到當前的完整歷史
• 產出 Merkle 樹根以提供整個資料集的單一完整性指紋

資料集血統

LineageTracker:

• 對每個訓練資料集版本,記錄:父版本、轉換清單、產出時間、負責人
• 支援時序查詢:「在 T 時間點,哪些樣本在訓練集中?」
• 儲存於 append-only 資料庫以防竄改

差分比較

ManifestDiff(old, new):計算兩個清單版本間的差異、識別新增、移除、修改的樣本;對修改,指出哪些欄位變更。

偵測未授權資料納入

已知資料排除清單

維護不應進入訓練的資料:

• 受限制內容(NSFW、違規內容)
• 公司內部敏感資料
• 已知被投毒資料集
• 受特定法律管轄的資料(例如 GDPR 特殊類別)

ExcludedDataDetector:將訓練樣本與已知排除集比對;使用內容雜湊 + 最近鄰搜尋(語意相似度)以捕捉變種;觸發告警若偵測到。

合成資料污染

若訓練資料包含由 LLM 生成的合成資料,需特殊追蹤:使用浮水印偵測、追蹤合成資料來源(產生模型、生成時間、使用的提示詞)、避免「模型崩潰」。

偵測資料投毒

統計異常

被投毒樣本常展現統計異常:異常文字長度或格式、在一般語料中罕見的字元/Unicode、不尋常的樣本內部重複模式、內容與元資料宣告(如標籤、類別)的不符。

後門資料偵測

BackdoorDataDetector:對目標類別尋找不自然特徵(例如所有「cat」標籤樣本都含紅色方形);執行光譜簽章分析以識別集中在特徵空間特定區域的小群樣本;對文字資料尋找重複或稀有的觸發短語。

資料剪枝與審查

對疑似被投毒資料集:移除偵測到的可疑樣本;執行控制實驗(在完整與淨化資料集上訓練,比較模型行為);對關鍵應用採用更保守的審查標準。

法規合規

EU AI Act 第 10 條(資料與資料治理)

EU AI Act 要求高風險 AI 系統:訓練、驗證與測試資料集「具有適當統計特性」;資料集「相關、有代表性、無誤且盡量完整」;資料集考慮「特定受影響人群的特徵」;檢查可能的偏見。來源鑑識是證明合規的關鍵能力。

GDPR 與個人資料

若訓練資料含個人資料:追蹤每筆記錄的法律依據;執行資料主體權利請求(例如刪除請求需追溯影響);維護隱私衝擊評估的鑑識性紀錄。

著作權與公平使用

對可能含受保護內容的訓練資料:追蹤授權狀態與使用條件;實作選擇退出機制(如 AI Preferences 標準);對商業模型,保留授權證據文件。

鑑識工具與實務

工具

• Data Version Control (DVC):Git 相容的資料集版本管理
• MLflow:ML 生命週期追蹤,含資料集
• DataLad:分散式資料管理
• Hugging Face Datasets + Parquet:內建雜湊與 schema 驗證

組織實務

• 資料治理政策:明確規定資料蒐集、處理、保留、刪除
• 資料集註冊表:中央化所有訓練資料集的目錄
• 定期鑑識演練:模擬「對一個行為偏差,追溯到具體訓練樣本」
• 審查委員會:對新資料集的納入進行獨立審查

參考資料

• European Parliament. (2024). Regulation (EU) 2024/1689 (AI Act). Article 10: Data and data governance. https://eur-lex.europa.eu/eli/reg/2024/1689
• NIST. (2023). AI Risk Management Framework (AI RMF 1.0). https://doi.org/10.6028/NIST.AI.100-1
• Biderman, S., et al. (2023). Pythia: A Suite for Analyzing Large Language Models Across Training and Scaling. ICML.
• Datasheets for Datasets (Gebru et al., 2018). https://arxiv.org/abs/1803.09010