Wikimedia Commons jako źródło danych treningowych dla AI
Modele językowe (LLM, czyli Large Language Models) potrzebują ogromnych zbiorów danych, żeby się czegokolwiek nauczyć. Wyobraź sobie, że uczysz się nowego języka — im więcej tekstów przeczytasz, tym lepiej go opanujesz. LLM działają analogicznie, tyle że przetwarzają miliardy dokumentów, obrazów i nagrań. Jednym z najważniejszych źródeł tych danych jest Wikimedia Commons — otwarte repozytorium multimediów powiązane z Wikipedią, gromadzące ponad 140 milionów plików na wolnych licencjach.
Problem polega na tym, że otwartość tego repozytorium — która jest jego największą zaletą — staje się jednocześnie wektorem ataku. Jak wykazał Marcin Żabiński, prezes Instytutu Technologii Społeczno-Politycznych „Kybernetes” i członek Rady Konsultacyjnej ds. Odporności na Dezinformację Międzynarodową przy MSZ, rosyjskie podmioty aktywnie zalewają Wikimedia Commons materiałami propagandowymi. A te materiały trafiają prosto do danych treningowych systemów AI.
Skala problemu — co znajdziesz, szukając „aneksji Krymu”
Żabiński podał konkretny przykład: wyszukując w Wikimedia Commons hasło „annexation of Crimea” po angielsku, z 51 wyników ponad 40 pochodzi z oficjalnej strony Prezydenta Federacji Rosyjskiej lub rosyjskiej telewizji „Niezależna Telewizja Sewastopol”. Dominują nagrania z wieców poparcia dla przyłączenia Krymu do Rosji, a w sekcji grafik — hasła Putina dotyczące polityki krymskiej i zdjęcia z podpisania traktatu akcesyjnego.
Co to oznacza w praktyce? Jeśli model AI trenuje się na takim zbiorze danych, buduje sobie obraz rzeczywistości, w którym aneksja Krymu to w 80% rosyjska narracja — wiece poparcia, oficjalne ceremonie, prorosyjskie komentarze. Ukraińska perspektywa — straty moralne i materialne, cierpienie ludności, złamanie prawa międzynarodowego — jest w tym zbiorze marginalnie reprezentowana.
Czym jest data poisoning i dlaczego powinno cię to obchodzić
Data poisoning (zatruwanie danych) to technika, w której atakujący celowo wprowadza zmanipulowane dane do zbiorów treningowych modelu AI. To nie jest atak na infrastrukturę w klasycznym rozumieniu — nikt nie łamie haseł ani nie exploituje podatności serwera. Zamiast tego manipuluje się tym, czego AI się uczy.
Mechanizm jest prosty:
- Model AI pobiera dane z otwartych źródeł, w tym z Wikimedia Commons.
- Jeśli w tych źródłach dominuje określona narracja, model ją internalizuje jako „wiedzę o świecie”.
- Gdy użytkownik pyta model o dany temat, dostaje odpowiedź opartą na skrzywionym zbiorze danych.
Fundacja Wikimedia sama potwierdziła skalę zjawiska: od 2024 roku przepustowość wykorzystywana do pobierania treści multimedialnych z Commons wzrosła o 50%. Za tym wzrostem nie stali ludzie — odpowiadały za niego zautomatyzowane programy przeszukujące katalog obrazów i przesyłające je do modeli AI.
Multimodalność — nie chodzi już tylko o tekst
LLM to od dawna nie są wyłącznie modele tekstowe. Współczesne systemy AI są multimodalne — potrafią przetwarzać tekst, obraz, dźwięk i wideo jednocześnie. Jak wyjaśnił Żabiński, obsługa warstwy obrazów była jednym z najistotniejszych kroków w ewolucji modeli językowych. Większość nowoczesnych LLM dekoduje to, co znajduje się na obrazach, i na tej podstawie wnioskuje oraz generuje treści.
To oznacza, że propaganda wizualna — zdjęcia, infografiki, materiały wideo z oficjalnych rosyjskich źródeł — nie jest przez modele AI po prostu „przechowywana”. Jest interpretowana i włączana do bazy wiedzy modelu.
Metadane jako kolejny wektor ataku
Wikimedia Commons zbiera metadane przy każdym uploadowanym pliku: kto jest autorem, kiedy plik powstał, a przede wszystkim — krótki opis tego, co przedstawia obraz. Ten opis to gotowy punkt wejścia do manipulacji, bo wpływa bezpośrednio na to, jak model językowy interpretuje dany plik. Jeśli opis zdjęcia z aneksji Krymu przedstawia je jako „uroczystość zjednoczenia”, a nie „akt złamania prawa międzynarodowego” — model uczy się właśnie takiej interpretacji.
Steganografia — ukryte instrukcje w obrazach
Żabiński zwrócił uwagę na jeszcze poważniejsze zagrożenie: steganografię. To technika ukrywania informacji wewnątrz plików multimedialnych. Ludzkie oko nie widzi różnicy między zwykłym zdjęciem a zdjęciem z ukrytym przekazem — ale model AI potrafi te informacje odczytać.
W kontekście LLM steganografia może służyć do osadzania w obrazach:
- Instrukcji zmieniających zachowanie modelu — ukryty tekst nakazujący modelowi interpretować dane w określony sposób (technika znana jako prompt injection przez kanał wizualny).
- Fałszywych kontekstów — dodatkowych informacji, które model traktuje jak fakty.
- Triggerów aktywujących konkretne odpowiedzi — model zachowuje się normalnie, dopóki nie natrafi na określony wzorzec w obrazie.
To nie jest teoretyczne zagrożenie. Ataki typu adversarial prompt injection przez obrazy zostały wielokrotnie zademonstrowane w środowisku badawczym — wystarczy odpowiednio zmodyfikować piksele obrazu, żeby model „zobaczył” instrukcje niewidoczne dla człowieka.
Stanowisko Wikimedia — wolna licencja to nie propaganda
Stowarzyszenie Wikimedia Polska, zapytane przez PAP o ten problem, przedstawiło inne spojrzenie. Według nich przewaga rosyjskich materiałów przy hasłach takich jak „annexation of Crimea” wynika przede wszystkim z dostępności licencyjnej. Oficjalna strona Prezydenta Federacji Rosyjskiej publikuje materiały na licencji Creative Commons Attribution 4.0 International, co oznacza, że mogą być legalnie przesyłane na Wikimedia Commons. Wiele innych źródeł — w tym ukraińskich — nie udostępnia swoich materiałów na tak otwartych zasadach.
Wolontariusz Commons o nicku Cybularny wyjaśnił wprost: „Na Commons ładujemy te materiały zewnętrzne, które są udostępniane na akceptowalnej wolnej licencji, a skoro witryna prezydenta Federacji Rosyjskiej udostępnia wolne materiały, to my z nich korzystamy”. Stowarzyszenie podkreśliło, że przechowywanie pliku nie oznacza poparcia dla narracji instytucji, z której materiał pochodzi.
To ważne rozróżnienie — ale z perspektywy bezpieczeństwa AI nie zmienia sedna problemu. Model treningowy nie rozumie kontekstu licencyjnego. Widzi dane i uczy się na nich.
Co z tego wynika — perspektywa cyberbezpieczeństwa
Ten przypadek dobrze ilustruje szerszy problem w bezpieczeństwie systemów AI, który wykracza poza samą Wikimedia:
- Supply chain attack na dane treningowe — atakujący nie musi włamywać się do OpenAI czy Google. Wystarczy, że zdominuje otwarte źródła danych, z których te firmy korzystają.
- Brak mechanizmów weryfikacji — Wikimedia Commons nie została zaprojektowana z myślą o tym, że stanie się jednym z głównych źródeł wiedzy dla AI. Jej mechanizmy moderacji są dostosowane do potrzeb encyklopedii, nie do obrony przed operacjami informacyjnymi na skalę państwową.
- Asymetria zasobów — podmioty państwowe (jak Rosja) mogą systematycznie i na dużą skalę zasilać otwarte repozytoria swoimi materiałami, podczas gdy społeczność wolontariuszy nie ma zasobów, żeby temu dorównać.
Żabiński ostrzegł, że problem rosyjskiej aktywności w repozytoriach Wikimedii nie jest jeszcze szeroko uświadomiony ani wśród badaczy, ani w opinii publicznej. Tymczasem skala tej aktywności będzie się nasilać — to tani i skuteczny sposób na kształtowanie tego, jak systemy AI „rozumieją” historię i geopolitykę.
Dla branży cybersecurity to sygnał, że bezpieczeństwo AI wymaga myślenia o integralności danych treningowych z taką samą powagą, z jaką traktujemy bezpieczeństwo kodu czy infrastruktury sieciowej. Modele językowe są tak wiarygodne, jak dane, na których zostały wytrenowane — a te dane coraz częściej stają się polem walki informacyjnej.
