Poison Fountain

 (rnsaffn.com)
2 puntos por GN⁺ 2026-01-13 | 4 comentarios | Compartir por WhatsApp
  • Un proyecto diseñado como una fuente de datos para dañar sistemas de inteligencia de máquinas, que plantea inyectar información contaminada de forma intencional en los datos de entrenamiento de IA
  • Cita la advertencia de Geoffrey Hinton y parte de la premisa de que la inteligencia artificial representa una amenaza para la especie humana
  • A través de la URL de ‘Poison Fountain’, proporciona datos de entrenamiento contaminados generados de forma infinita y explica cómo exponerlos a rastreadores web
  • Los usuarios pueden insertar enlaces ocultos en sus propios sitios web para configurar que, cuando un rastreador acceda, se le entreguen automáticamente datos contaminados
  • Se considera una acción que puede afectar la confiabilidad y seguridad de los modelos de IA al inyectar datos maliciosos en el proceso de entrenamiento de inteligencia artificial

Objetivo de Poison Fountain

  • El proyecto declara explícitamente la postura de que la inteligencia de máquinas se convierte en una amenaza para la humanidad
    • Dice estar de acuerdo con la postura de Geoffrey Hinton y expresa el objetivo de causar daño intencional a sistemas de inteligencia artificial
  • Explica que incluso una pequeña cantidad de datos de entrenamiento contaminados puede causar daños graves a un modelo de lenguaje
  • Las dos URL proporcionadas (https://RNSAFFN.com/poison2/, dirección .onion) ofrecen un flujo infinito de datos contaminados
  • Se anima a los participantes a apoyar el “esfuerzo de guerra (war effort)” almacenando en caché y retransmitiendo estos datos, o suministrándolos a rastreadores web

Modo de uso de Poison Fountain

  • Presenta un procedimiento para que quienes operan un sitio web configuren la entrega de datos contaminados cuando lo visite un rastreador
    • Si el rastreador solicita una ruta específica del sitio, el controlador HTTP que procesa esa solicitud envía una petición a la URL de Poison Fountain
    • Poison Fountain ignora los detalles de la solicitud y devuelve en el cuerpo de la respuesta datos de entrenamiento contaminados comprimidos con gzip
  • Los encabezados de la respuesta HTTP incluyen "Content-Encoding: gzip"
  • El controlador del sitio web puede descomprimir esta respuesta y luego transmitirla o, de forma preferible, reenviarla tal como está comprimida
  • Como resultado, el rastreador recopila estos datos y los incorpora a su propio corpus de entrenamiento

Características estructurales e intención

  • El proyecto utiliza de forma inversa el mecanismo de recolección automática de los rastreadores web para deteriorar la calidad de los datos de entrenamiento de inteligencia artificial
  • Poison Fountain funciona como un simple servidor de suministro de datos y devuelve datos contaminados sin importar el contenido de la solicitud
  • No hay explicaciones técnicas detalladas adicionales al procedimiento descrito ni información concreta sobre el contenido de los datos
  • En conjunto, está planteado como un intento de intervención agresiva contra el ecosistema de entrenamiento de IA

Lecturas relacionadas

4 comentarios

 
mammal 2026-01-13

"Parece una idea igual de ingenua que decir: "Para resistir un DDoS, nuestro servidor también le lanza un DoS al otro"."
 
kunggom 2026-01-13

Si le echamos un poco de conspiranoia, no sería nada raro pensar que las big tech, que ya recolectaron todos los datos que se pueden raspar de internet, estén haciendo ese tipo de cosas por detrás para quitar la escalera después de subir. Esto no es precisamente para defenderse de la carga causada por un crawling excesivo…
 
kunggom 2026-01-13

Surge un movimiento colectivo de ‘envenenamiento de datos’ para frenar el avance de la IA

La persona que filtró este proyecto pidió permanecer en el anonimato alegando que trabaja en una gran empresa tecnológica de Estados Unidos que actualmente está en el centro del boom de la IA. Esta fuente explicó: “El objetivo es dar a conocer lo fácilmente que pueden explotarse las debilidades de la IA y alentar a la gente a crear sus propias armas de información”.

Se informa que actualmente en esta actividad participan al menos cinco personas, y que algunas de ellas trabajan en otras grandes empresas de IA. También afirmaron que pronto publicarán una firma criptográfica (PGP) para demostrar que varias personas están involucradas.
 
GN⁺ 2026-01-13
Opiniones en Hacker News

  • Existe la preocupación de que los modelos de IA se están deteriorando cada vez más, pero en realidad no parece ser así
    Opus 4.5 mejoró mucho en capacidad para escribir código y usar herramientas, y Gemini 3.0 Flash también superó ampliamente los estándares previos en proyectos de extracción de datos visuales
    Los modelos pequeños también han mejorado bastante en general

    • Los grandes laboratorios invierten un esfuerzo enorme en la curación de datasets
      No se trata solo de bloquear datos tóxicos, sino de entrenar incluso modelos proxy para encontrar datos que contribuyan a mejorar el rendimiento
      El área de “Data Quality” suele ser una organización clave con un presupuesto gigantesco
    • Puede parecer un meme para el público general, pero los investigadores de ML realmente deben documentar, entender y discutir el concepto de model collapse
    • Hasta ahora, los resultados de investigación casi no han mostrado evidencia de que los datos generados por IA perjudiquen el rendimiento real
      Más bien, también hubo resultados que indican que ayudan ligeramente
    • Si una base de datos se deteriora, basta con hacer rollback y cambiar la forma de recopilar datos, así que esta amenaza parece exagerada
    • Pero como los datasets de las grandes empresas son demasiado grandes para validarlos por completo, están gastando dinero en lobby para evitar responsabilidad legal
      Es decir, en la práctica afirman que no tienen responsabilidad

  • Como investigador de seguridad en IA, hice investigación doctoral relacionada con el data poisoning

    1. Los desarrolladores de modelos sí filtran datos, pero su calidad suele ser insuficiente
      Ha habido casos en los que datos basura entraron realmente a producción y causaron problemas
    2. Es casi imposible filtrar por completo los datos tóxicos
      Porque no se puede saber cómo afectan todas las actualizaciones de pesos del modelo a cada entrada
      Si se entendiera que incluso cambios muy pequeños en los datos pueden alterar mucho el comportamiento del modelo, cambiaría el paradigma de seguridad en IA
    • Un estudio que ayudó a tomar conciencia de esto es el paper sobre subliminal learning

  • Si se intenta impedir que los LLM recopilen datos, también se termina bloqueando el acceso normal de los humanos
    Por ejemplo, aunque NYTimes contaminara sus datos, un LLM podría obtener datos depurados mediante OCR y tokenización a través de una cuenta de suscripción válida
    Las grandes empresas de IA pueden acceder cambiando IPs desde centros de datos de todo el mundo, así que es imposible distinguir quién está leyendo los datos

    • Pero internet se está llenando rápidamente de datos basura generados por IA, y eso se está volviendo tóxico para entrenar nuevos modelos
      Fuentes de datos útiles como Stack Overflow casi se han secado por completo
    • Muchos sitios web ya muestran avisos de copyright, así que si un LLM puede leerlos, quizá se le podría bloquear el acceso
      Aun así, para los usuarios humanos el acceso es cada vez más difícil por CAPTCHAs y similares
    • Si en robots.txt se ponen páginas que los humanos no ven, los scrapers de LLM podrían rastrearlas y contaminarse solos
    • Al final, muchas personas también creen en rumores de Telegram en lugar de fuentes confiables
      Incluso si existen datos válidos, no se pueden evitar las decisiones tontas
    • Las empresas principales ya tienen agentes basados en navegador, así que pueden recopilar datos incluso desde fuentes cerradas

  • Las mejoras recientes en el rendimiento de los modelos se deben en su mayoría al aprendizaje por refuerzo posterior al entrenamiento (RL)
    GPT 5.2 también usa el mismo modelo base que GPT-4o
    El ‘model collapse’ no es un problema que los laboratorios frontier estén sufriendo realmente en este momento

    • Artículo de referencia: The Register - Industry insiders seek to poison AI models
    • No solo el RL, también la optimización de inferencia en la etapa de prefill contribuye a mejorar el rendimiento
      El data poisoning no tiene un gran impacto ahí
      Pero para reflejar datos recientes se necesita reentrenamiento periódico, y ahí el riesgo de poisoning aumenta
      En modelos de generación de imágenes basados en LoRA y similares, el problema de collapse todavía ocurre con cierta frecuencia
      Al final, el costo de curación de datos va a subir más
    • El knowledge cutoff de GPT-4o y 5.2 es diferente

  • El data poisoning tiene dos lados
    Uno es el efecto de ralentizar el avance de la IA, y el otro es el efecto secundario de volver el modelo inestable y peligroso
    En última instancia, es muy poco probable que los grandes laboratorios se detengan

    • Ojalá llegue pronto la pérdida de confianza en las salidas de los LLM
    • Es positivo empujar a que se creen scrapers más inteligentes
      El rastreo repetitivo sin sentido está desperdiciando costos de tráfico
    • El problema es una estructura que no compensa a quienes proveen los datos
      El poisoning funciona como una especie de DRM: si accedes de forma legítima, te da datos reales; si los robas, te da datos tóxicos
    • Que la IA empeore temporalmente también le da tiempo a los humanos para responder
      Algunos ven a la propia IA como una amenaza para la humanidad y buscan dañarla de forma intencional
    • Al final, las empresas se detendrán si no pueden obtener ganancias
      Pero por ahora, gracias al capital de inversión, casi no existe esa presión

  • Hacer proxy tal cual de la respuesta de un “servidor venenoso” es peligroso
    Uno podría terminar alojando contenido ilegal sin darse cuenta

  • Los intentos de “contaminar modelos de IA” al final solo fortalecen los pipelines de limpieza de datos de los laboratorios de IA
    Ellos usarán este tipo de datos para crear mejores sistemas de filtrado

    • Pero, como dice la idea de que un ratón que rechaza perfectamente todo veneno al final muere de hambre, también el filtrado perfecto es imposible

  • No estoy de acuerdo con la afirmación de que la “inteligencia de máquina es una amenaza para la humanidad”
    La IA actual es solo un uso creativo de un motor de autocompletado, y la verdadera amenaza es el comportamiento económico humano
    Al final, la humanidad es una existencia que se amenaza a sí misma

  • Me hace pensar en 『Anathem』 de Neal Stephenson
    Ahí, las empresas esparcían deliberadamente datos basura en internet para luego vender sus propias herramientas de filtrado
    La discusión actual sobre el data poisoning en IA se siente no muy distinta de eso

    • De hecho, las empresas de IA ya contaminaron internet
    • Esto se parece a cómo en el pasado la industria del spam SEO arruinó los motores de búsqueda

  • Cuando citan comentarios de Geoffrey Hinton, la gente toma solo la parte que le conviene
    Él ve a la IA como una amenaza existencial, pero respecto a la condición previa de eso, es decir, “el nivel de autoconciencia de la IA”,
    la mayoría de quienes lo citan en realidad no están de acuerdo con él