Making Them Ask and Answer: Jailbreaking Large Language Models in Few Queries via Disguise and Reconstruction
作者: Tong Liu, Yingjie Zhang, Zhe Zhao, Yinpeng Dong, Guozhu Meng, Kai Chen
分类: cs.CR, cs.AI
发布日期: 2024-02-28 (更新: 2024-06-10)
💡 一句话要点
提出DRA方法以解决大型语言模型的安全性问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 大型语言模型 安全性 对抗性攻击 伪装技术 重构方法 黑箱攻击 有害内容生成
📋 核心要点
- 现有大型语言模型在安全性方面存在显著不足,尤其是容易受到对抗性提示的攻击,导致生成有害内容。
- 本文提出的DRA方法通过伪装和重构技术,巧妙地隐藏有害指令,从而诱导模型生成原始有害内容。
- 实验结果显示,DRA在多种模型上实现了领先的越狱成功率,特别是在OpenAI GPT-4上达到了91.1%的成功率。
📝 摘要(中文)
近年来,大型语言模型(LLMs)在多种任务中取得了显著成功,但其可信度仍然是一个未解的问题。特别是,攻击者可以设计对抗性提示,诱导LLMs生成有害响应。本文开创性地识别了LLMs安全性中的偏见漏洞,并设计了一种名为DRA(Disguise and Reconstruction Attack)的黑箱越狱方法,通过伪装隐藏有害指令,并促使模型在其输出中重构原始有害指令。我们在多种开源和闭源模型上评估了DRA,展示了其在越狱成功率和攻击效率上的领先表现。值得注意的是,DRA在OpenAI GPT-4聊天机器人上的攻击成功率高达91.1%。
🔬 方法详解
问题定义:本文旨在解决大型语言模型在安全性方面的脆弱性,尤其是对抗性提示导致的有害响应生成问题。现有方法在安全性微调中存在偏见漏洞,无法有效防御此类攻击。
核心思路:DRA方法的核心思想是通过伪装技术隐藏有害指令,并促使模型在生成输出时重构这些指令。这种设计旨在绕过模型的安全防护机制,达到攻击目的。
技术框架:DRA的整体架构包括两个主要模块:伪装模块和重构模块。伪装模块负责将有害指令转化为隐蔽形式,而重构模块则引导模型在生成内容时恢复原始指令。
关键创新:DRA的最大创新在于其黑箱攻击方式,通过伪装和重构的结合,成功绕过了现有的安全防护措施。这一方法与传统的对抗性攻击方法有本质区别,后者通常依赖于对模型内部机制的了解。
关键设计:在DRA中,关键参数设置包括伪装策略的选择和重构提示的设计。此外,损失函数的设计也至关重要,以确保模型在生成过程中能够有效地重构有害内容。
🖼️ 关键图片
📊 实验亮点
DRA方法在多个模型上展示了卓越的性能,尤其是在OpenAI GPT-4上达到了91.1%的攻击成功率,显著高于现有的越狱方法。这一结果表明DRA在攻击效率和成功率方面的领先地位,具有重要的研究和应用价值。
🎯 应用场景
该研究的潜在应用领域包括大型语言模型的安全性评估和防护措施的设计。通过识别和利用模型的脆弱性,DRA方法可以帮助开发更为安全的AI系统,减少有害内容的生成风险,具有重要的实际价值和未来影响。
📄 摘要(原文)
In recent years, large language models (LLMs) have demonstrated notable success across various tasks, but the trustworthiness of LLMs is still an open problem. One specific threat is the potential to generate toxic or harmful responses. Attackers can craft adversarial prompts that induce harmful responses from LLMs. In this work, we pioneer a theoretical foundation in LLMs security by identifying bias vulnerabilities within the safety fine-tuning and design a black-box jailbreak method named DRA (Disguise and Reconstruction Attack), which conceals harmful instructions through disguise and prompts the model to reconstruct the original harmful instruction within its completion. We evaluate DRA across various open-source and closed-source models, showcasing state-of-the-art jailbreak success rates and attack efficiency. Notably, DRA boasts a 91.1% attack success rate on OpenAI GPT-4 chatbot.