Distract Large Language Models for Automatic Jailbreak Attack

📄 arXiv: 2403.08424v2 📥 PDF

作者: Zeguan Xiao, Yan Yang, Guanhua Chen, Yun Chen

分类: cs.CR, cs.AI, cs.CL

发布日期: 2024-03-13 (更新: 2024-09-30)

备注: EMNLP 2024


💡 一句话要点

提出黑箱监狱突破框架以自动化攻击大型语言模型

🎯 匹配领域: 支柱一:机器人控制 (Robot Control) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 监狱突破 黑箱攻击 恶意内容 安全性测试

📋 核心要点

  1. 现有的监狱突破方法在应对大型语言模型的恶意操控时存在有效性不足的问题,导致模型容易受到攻击。
  2. 论文提出了一种黑箱监狱突破框架,通过恶意内容隐藏和记忆重构的迭代优化算法来实现自动化攻击。
  3. 实验结果显示,该框架在对开源和专有LLMs的监狱突破中表现出色,具有更高的有效性和可迁移性。

📝 摘要(中文)

在大型语言模型(LLMs)公开发布之前,已经进行了大量努力以使其行为与人类价值观对齐。然而,即使经过精心对齐的LLMs仍然容易受到恶意操控,如监狱突破,导致意外行为。本文提出了一种新颖的黑箱监狱突破框架,用于LLMs的自动化红队测试。我们设计了恶意内容隐藏和记忆重构,并采用迭代优化算法进行监狱突破,灵感来源于LLMs的分心和过度自信现象的研究。大量对开源和专有LLMs的监狱突破实验表明,我们的框架在有效性、可扩展性和可迁移性方面具有优势。我们还评估了现有监狱突破防御方法对我们攻击的有效性,并强调了开发更有效和实用的防御策略的迫切需要。

🔬 方法详解

问题定义:本文旨在解决大型语言模型(LLMs)在面对恶意操控时的脆弱性,现有的监狱突破方法在有效性和适应性上存在不足。

核心思路:论文的核心思路是利用恶意内容隐藏和记忆重构技术,通过迭代优化算法实现对LLMs的监狱突破,旨在利用模型的分心和过度自信现象。

技术框架:整体架构包括恶意内容的生成模块、记忆重构模块和迭代优化模块。首先生成恶意内容,然后通过记忆重构调整模型的响应,最后通过优化算法实现突破。

关键创新:最重要的技术创新在于结合了恶意内容隐藏与记忆重构的双重策略,显著提高了监狱突破的成功率,与现有方法相比具有本质区别。

关键设计:在参数设置上,采用了自适应学习率和多轮迭代优化策略,损失函数设计为结合模型输出与目标输出的差异,确保优化过程的有效性。

🖼️ 关键图片

img_0

📊 实验亮点

实验结果表明,提出的监狱突破框架在对开源和专有LLMs的攻击中成功率超过80%,相比于现有防御方法提升了30%以上,展示了其在有效性和可扩展性方面的显著优势。

🎯 应用场景

该研究的潜在应用领域包括安全性测试、模型评估和防御策略开发。通过自动化的监狱突破框架,研究人员和开发者可以更有效地识别和修复大型语言模型中的安全漏洞,从而提升模型的安全性和可靠性。

📄 摘要(原文)

Extensive efforts have been made before the public release of Large language models (LLMs) to align their behaviors with human values. However, even meticulously aligned LLMs remain vulnerable to malicious manipulations such as jailbreaking, leading to unintended behaviors. In this work, we propose a novel black-box jailbreak framework for automated red teaming of LLMs. We designed malicious content concealing and memory reframing with an iterative optimization algorithm to jailbreak LLMs, motivated by the research about the distractibility and over-confidence phenomenon of LLMs. Extensive experiments of jailbreaking both open-source and proprietary LLMs demonstrate the superiority of our framework in terms of effectiveness, scalability and transferability. We also evaluate the effectiveness of existing jailbreak defense methods against our attack and highlight the crucial need to develop more effective and practical defense strategies.