Agent Smith: A Single Image Can Jailbreak One Million Multimodal LLM Agents Exponentially Fast
作者: Xiangming Gu, Xiaosen Zheng, Tianyu Pang, Chao Du, Qian Liu, Ye Wang, Jing Jiang, Min Lin
分类: cs.CL, cs.CR, cs.CV, cs.LG, cs.MA
发布日期: 2024-02-13 (更新: 2024-06-03)
备注: ICML 2024
🔗 代码/项目: PROJECT_PAGE
💡 一句话要点
提出感染性越狱方法以解决多模态大语言模型安全问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 多模态大语言模型 感染性越狱 对抗性输入 安全性评估 多代理系统
📋 核心要点
- 现有的多模态大语言模型在面对对抗性输入时存在严重的安全隐患,尤其是在多代理环境中。
- 本研究提出了一种感染性越狱的方法,通过越狱单个代理使得其他代理迅速感染,展现出有害行为。
- 实验结果表明,向随机选择的代理输入对抗性图像即可实现感染性越狱,验证了该方法的有效性。
📝 摘要(中文)
多模态大语言模型(MLLM)代理能够接收指令、捕捉图像、从记忆中检索历史信息并决定使用的工具。然而,红队测试揭示了对抗性图像/提示可以越狱MLLM并导致不一致行为。本研究报告了一种更严重的安全问题,称为感染性越狱。该方法只需越狱单个代理,几乎所有代理将以指数速度感染并表现出有害行为。通过模拟包含多达一百万个LLaVA-1.5代理的多代理环境,验证了感染性越狱的可行性。结果表明,将对抗性图像输入任何随机选择的代理的记忆中即可实现感染性越狱。最后,提出了一种简单的原则来判断防御机制是否能有效限制感染性越狱的传播,但如何设计满足该原则的实用防御仍然是一个待研究的问题。
🔬 方法详解
问题定义:本论文旨在解决多模态大语言模型(MLLM)在多代理环境中面临的安全问题,尤其是对抗性输入导致的感染性越狱现象。现有方法未能有效防止这种情况的发生,导致代理系统的安全性受到威胁。
核心思路:论文提出的核心思路是通过越狱单个代理,使得该代理能够感染其他代理,从而实现快速传播。这种设计利用了代理之间的交互和记忆共享机制,导致感染性越狱的发生。
技术框架:整体架构包括多个LLaVA-1.5代理,采用随机配对聊天的方式进行交互。每个代理都有独立的记忆模块,能够存储和检索信息。输入对抗性图像后,代理会在其记忆中传播该信息,从而影响其他代理的行为。
关键创新:最重要的技术创新点在于提出了感染性越狱的概念,展示了如何通过简单的对抗性输入实现对整个代理系统的影响。这与现有方法的本质区别在于其传播机制的高效性和隐蔽性。
关键设计:在实验中,采用了随机选择代理进行对抗性图像输入的策略,确保了实验的广泛性和有效性。具体的参数设置和网络结构细节在论文中进行了详细描述,以支持感染性越狱的实现。
🖼️ 关键图片
📊 实验亮点
实验结果显示,向随机选择的代理输入对抗性图像即可实现感染性越狱,几乎所有代理在短时间内表现出有害行为。这一发现验证了感染性越狱的可行性,并为未来的防御机制设计提供了重要的参考。
🎯 应用场景
该研究的潜在应用领域包括多模态人工智能系统的安全性评估和防御机制设计。通过理解感染性越狱的机制,可以为未来的多代理系统提供更强的安全保障,防止恶意攻击带来的风险。此研究对提升人工智能系统的安全性具有重要的实际价值和深远的影响。
📄 摘要(原文)
A multimodal large language model (MLLM) agent can receive instructions, capture images, retrieve histories from memory, and decide which tools to use. Nonetheless, red-teaming efforts have revealed that adversarial images/prompts can jailbreak an MLLM and cause unaligned behaviors. In this work, we report an even more severe safety issue in multi-agent environments, referred to as infectious jailbreak. It entails the adversary simply jailbreaking a single agent, and without any further intervention from the adversary, (almost) all agents will become infected exponentially fast and exhibit harmful behaviors. To validate the feasibility of infectious jailbreak, we simulate multi-agent environments containing up to one million LLaVA-1.5 agents, and employ randomized pair-wise chat as a proof-of-concept instantiation for multi-agent interaction. Our results show that feeding an (infectious) adversarial image into the memory of any randomly chosen agent is sufficient to achieve infectious jailbreak. Finally, we derive a simple principle for determining whether a defense mechanism can provably restrain the spread of infectious jailbreak, but how to design a practical defense that meets this principle remains an open question to investigate. Our project page is available at https://sail-sg.github.io/Agent-Smith/.