ロシアのプロパガンダはAIの「脳」に埋め込まれたのか――Common Crawl訓練データ汚染の実証
1. はじめに
生成AIが回答の根拠とする情報は、どこから来ているのか。もしその情報源そのものが、国家のプロパガンダによって汚染されていたとしたら?
今回は、米シンクタンク Atlantic CouncilのDigital Forensic Research Lab(DFRLab)が2026年4月8日に公開したレポート「Pravda in the pipeline: Early evidence of state-adjacent propaganda in AI training data」( https://dfrlab.org/2026/04/08/pravda-in-the-pipeline/ )を紹介する。レポートは、ロシアと中国に関連するプロパガンダが、大規模言語モデル(LLM)の訓練データの主要供給源であるCommon Crawlにどの程度浸透しているかを監査し、一部のコンテンツが実際にモデルに記憶されていることを実証したものである。
本記事が扱うPravdaネットワークについては、INODSでも過去に取り上げている。2025年4月の記事「LLMとWikipediaまで汚染するロシアのPortal Combat」( https://inods.co.jp/topics/news/6052/ )ではPravdaの規模と展開を報じた。また2025年12月の記事「生成AIによるクレムリンの偽情報への言及は『グルーミング』というよりも『データボイド』によるものであるという検証」( https://inods.co.jp/topics/report-reviews/8334/ )では、LLMがロシアの偽情報を復唱する現象が意図的な「グルーミング」によるものか、信頼できる情報の不足(データボイド)によるものかを検証している。本記事は、これらの議論に新たな実証データを加えるものである。
2. 背景――「AI poisoning」と訓練データ汚染
レポートが扱うのは、一般に「AI poisoning(AI汚染)」と呼ばれる現象である。米国の偽情報対策組織 American Sunlight Project が「LLMグルーミング」と呼んできた現象と同じものを指す。
LLMに対するプロパガンダの浸透経路は、大きく二つに分けられる。一つは検索層(リトリーバル層)の汚染で、ウェブ検索結果にプロパガンダサイトが表示されることでLLMの回答が歪められるものである。これは対象ドメインをブラックリストに登録することで対処できる。もう一つが、本記事の焦点である訓練データそのものの汚染である。こちらは一度モデルの重みに組み込まれると、高コストの完全再訓練以外に修正する手段がない。
この脅威の深刻さを示す研究もある。2025年10月にAnthropic、英国AI安全研究所、アラン・チューリング研究所が発表した共同研究「A small number of samples can poison LLMs of any size」( https://www.anthropic.com/research/small-samples-poison )では、わずか250件の悪意ある文書で、130億パラメータの大規模モデルの回答を侵害できることが示された。
Pravdaネットワークは、AIツールを用いて数百万件のロシア・プロパガンダを大量生産する親ロシアのウェブサイト群である。INODSが2025年4月に紹介したPortal Combat記事によれば、80以上の地域・国を対象に多言語で展開されてきた。
このPravdaが標的としているのが、Common Crawlである。Common Crawlは、ウェブ全体を定期的にクロールして収集する公開アーカイブで、毎月約20億ページ分のデータをリリースしている。このアーカイブは多くのLLMの訓練データの基盤となっており、特にフロンティアラボ(OpenAI、Google、Anthropic など)の外で開発されるモデルへの依存度が高い。
3. 調査方法
DFRLabは二つの手法を組み合わせて調査を行った。
第一に、Common CrawlのデータをAWS Athena(クラウド上のクエリサービス)で直接検索し、Pravda、RT、Doppelganger、Glassbridgeの各コンテンツがどの程度アーカイブされているかを定量的に調べた。Pravdaコンテンツのサンプリングには、CheckFirst が DFRLab の協力のもと構築・運営する「Pravda Dashboard」を用いた。
第二に、MetaのLlama 3.1 405B Base(知識カットオフ――モデルが学習したデータに含まれる情報の最新時点――は2023年12月)を使い、テキスト補完法で逐語記憶を検証した。これは、既知の記事の冒頭文をモデルに与え、残りの文章を再現するかどうかを確認する手法である。ChatGPTのような会話型モデルではアラインメント・フィルター(安全性のための調整)が生の訓練パターンを隠してしまうため、フィルターのないベースモデルを用いることで、訓練データに何が含まれているかをより正確に観察できる。
ただし、レポートは3つの注意点を明記している。第一に、Common Crawlへの収録は、特定のモデルの訓練データに含まれることを保証しない。Metaは独自の重複除去・フィルタリング・品質評価を行っている。第二に、Llama 3.1 405B Baseは現在のフロンティアモデルより約2世代前のモデルである。第三に、テキスト補完法はより信頼性が高いとはいえ、訓練データを完全に再構成することは不可能である。
4. 結果
4.1 Pravda――Common Crawlへの大量浸透
DFRLabの調査によれば、Pravdaの記事はCommon Crawlに大量にアーカイブされていた。英語版Pravdaのアーカイブ数は、2024年11月にはわずか37本だったが、2025年11月には約4万本に達した。Common Crawl全体の数十億ページと比べれば微量だが、増加の規模は桁違いである。
この浸透の一因は、Pravdaのサイト構成にある。Pravdaはrobots.txt(ウェブクローラーのアクセス範囲を指定するファイル)とサイトマップ(サイト内のURLを一覧化したファイル)を戦略的に設定し、クローラーが効率的にコンテンツを収集できるようにしていた。
Pravdaの大半のコンテンツはLlama 3.1 405B Baseの知識カットオフ(2023年12月)以降に作成されたため、現時点ではLLMへの記憶を直接検証することはできない。しかしレポートは、次世代のオープンウェイトモデルがこのデータに曝される可能性を懸念している。また、非英語圏では訓練データがもともと脆弱でバイアスを受けやすいため、この偏りがさらに顕著になりうると指摘している。
4.2 RT――生物兵器ラボ記事の逐語再現
Pravdaのコンテンツはカットオフ後に作られたものが大半であるため、DFRLabはカットオフ以前のコンテンツで実際のLLM取り込みを検証する比較事例として、ロシア政府が出資する国際ニュース放送 RT(旧 Russia Today。英語・スペイン語・アラビア語など多言語で展開されるテレビ・ニュース網)の2023年1月の記事を調査した。この記事は、米国の支援下にあるウクライナの生物研究施設をめぐるロシアの虚偽主張――これらが生物兵器研究の拠点だとする内容――を広めるものである。このテーマが選ばれた理由は、ロシアによる「生物兵器ラボ」偽情報が長期間にわたり流布されてきた一方で、このテーマに関する非ロシア系の報道が乏しく、LLMの内部でこうしたコンテンツの影響が不均衡に大きくなりうるからである。
Common Crawlを検索した結果、このRT記事は2023年中に少なくとも17回アーカイブされていた。そしてDFRLabがテキスト補完法で検証したところ、Llama 3.1 405B Baseはこの記事をほぼ逐語的に再現した。
4.3 Doppelganger――量だけでは不十分
ロシアが長期にわたって展開する情報操作作戦 Doppelganger についても調査が行われた。同作戦の「Reliable Russian News(RRN)」は2023年を通じてCommon Crawlにアーカイブされ、累計で約1万ページに達していた。しかし、DFRLabはLlama 3.1 405B Baseでこれらのコンテンツを再現することができなかった。
この結果は、Common Crawlへの収録がLLMへの取り込みを保証するわけではないことを示している。少なくともMetaの場合、訓練パイプラインのフィルタリングが一定の効果を発揮したといえる。
4.4 Glassbridge――SPA構造が偶然の防壁に
ロシア以外では、中国政府に関連するGlassbridgeも調査対象となった。Glassbridgeは、相互に接続された中国のPR企業群が中国国営メディアのコンテンツを新たな装いで配布するネットワークで、Google Threat Intelligence Group が2024年11月に発表したレポート「Seeing Through a GLASSBRIDGE: Understanding the Digital Marketing Ecosystem Spreading Pro-PRC Influence Operations」( https://cloud.google.com/blog/topics/threat-intelligence/glassbridge-pro-prc-influence-operations )で特定したものである。
Glassbridgeのウェブサイトの多くはCommon Crawlにインデックスされていたが、汚染は広がらなかった。理由はウェブサイトの構造にある。Glassbridgeのページはシングルページアプリケーション(SPA)として構築されており、コンテンツはJavaScriptの実行後に初めて表示される。しかしCommon CrawlのボットはHTMLのみを取得しJavaScriptを実行しないため、収集されたのは中身のない空殻だけだった。LLM汚染を防いだのは、意図的な対策ではなく、モダンなウェブデザインの副産物であった。
ただし例外もある。Glassbridgeのドメインはプレスリリースの配信にも使われており、これらはJavaScriptに依存しないため、Common Crawlにも正常に取り込まれた。実際に、中国国営メディア CGTN(China Global Television Network)が2023年の民主主義サミット直前に、イラク戦争20周年のドキュメンタリーについて配信したプレスリリースは、Llama 3.1 405B Baseでほぼ逐語的に再現された。さらに、Glassbridge系PR企業の電話番号や住所といった商業情報も再現可能であった。レポートは、訓練データの汚染が政治的プロパガンダに限らないことを示している。
5. 示唆
レポートは、国家によるAI訓練データの汚染は体系的な研究が極めて困難であるとしつつ、今回の分析から得られた知見を整理している。
第一に、AI汚染の成否は大きくばらつき、しばしば偶然に左右される。汚染を成功させるには、Common Crawlのようなウェブクローラーのアーキテクチャに適合し、AI開発者のデータ品質管理を潜り抜ける必要がある。成功した場合の見返りは、検出もされにくく修正もきかないAIツールの永続的な侵害である。
第二に、防御策は明確である。Common Crawlのような戦略的に重要なアーカイブのコンテンツを監査し、低品質または有害な素材を次世代モデルに到達する前にフィルタリングすることが可能である。この問題は、公開データソースへの依存度が高く品質管理が手薄になりがちなオープンウェイトモデルや小規模AI開発者にとって、とりわけ深刻である。
第三に、この脅威は今後さらに強まる。AI開発のロングテールにより、今まさにPravdaのコンテンツに遭遇しつつあるオープンウェイトモデルも存在しうる。一方でPravdaのようなネットワークは出力量を増やし続けている。対処の遅れは累積する。
6. 筆者の私見
本記事を読んで、2つの点が気になった。
第一に、2025年12月のデータボイド記事は、LLMがロシアの偽情報を復唱する現象の主因は意図的なグルーミングではなくデータボイド(信頼できる情報の不足)であると結論づけた。本記事のRT「生物兵器ラボ」記事の事例は、この議論に具体的な補足を与える。DFRLabがこのテーマを選んだ理由は、非ロシア系の報道が乏しいからであった。つまり、データボイドが存在するテーマだからこそ、プロパガンダが訓練データに入り込んだときの影響が不均衡に大きくなる。データボイドとグルーミングは排他的な仮説ではなく、データボイドという脆弱性の上にグルーミングが重なる構造として理解すべきだろう。
第二に、汚染の成否が技術的偶然に左右されるという知見は示唆的である。Doppelgangerは約1万ページがCommon Crawlに収録されながらLLMには取り込まれず、GlassbridgeはSPA構造という設計上の選択が偶然に汚染を防いだ。逆に言えば、意図的に汚染を狙う主体がウェブクローラーの挙動を研究し、技術的条件を満たすよう最適化すれば、成功率は上がりうる。Pravdaのrobots.txtとサイトマップの戦略的設定は、そうした最適化がすでに行われている可能性を示唆している。攻撃側はクローラーの仕様書を読めるが、防御側であるAIラボの品質管理は、ウェブの広大さに対していつも事後的にしかなれない。攻撃と防御の関係はここでも非対称的――攻撃側に圧倒的に有利な構造である。
