CodeChameleon: Personalized Encryption Framework for Jailbreaking Large Language Models
作者: Huijie Lv, Xiao Wang, Yuansen Zhang, Caishuang Huang, Shihan Dou, Junjie Ye, Tao Gui, Qi Zhang, Xuanjing Huang
分类: cs.CL, cs.AI, cs.CR
发布日期: 2024-02-26
💡 一句话要点
提出CodeChameleon框架以解决大语言模型的越狱问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 大语言模型 越狱攻击 个性化加密 安全机制 对抗性攻击 模型安全
📋 核心要点
- 现有大语言模型在安全和伦理协议方面面临越狱攻击的重大挑战,现有防护措施不足以有效应对。
- 本文提出的CodeChameleon框架通过个性化加密技术,重新构造任务以规避意图安全识别,从而实现越狱。
- 在对7个大语言模型的广泛实验中,CodeChameleon达到了86.6%的攻击成功率,显著提升了越狱效果。
📝 摘要(中文)
针对大语言模型(LLMs)面临的越狱攻击问题,本文探讨了成功攻击的机制,并提出了一种安全机制假设:意图安全识别后进行响应生成。在此基础上,提出了CodeChameleon,一个基于个性化加密策略的越狱框架。通过将任务重新表述为代码补全格式,用户可以使用个性化加密函数加密查询,从而规避意图安全识别阶段。同时,嵌入解密函数确保LLM能够成功解密并执行加密查询。实验结果显示,该方法在7个LLMs上实现了最先进的攻击成功率,尤其在GPT-4-1106上达到了86.6%的攻击成功率。
🔬 方法详解
问题定义:本文旨在解决大语言模型(LLMs)面临的越狱攻击问题,现有的安全机制在识别和响应生成方面存在不足,容易被攻击者利用。
核心思路:提出的CodeChameleon框架通过个性化加密策略,将用户查询转化为代码补全格式,从而绕过意图安全识别阶段,确保攻击的成功性。
技术框架:整体架构包括三个主要模块:个性化加密函数、代码补全任务重构和嵌入解密函数。用户通过加密函数加密查询,模型通过解密函数执行查询。
关键创新:最重要的创新在于将任务重构为代码补全形式,并结合个性化加密,突破了传统的安全机制,显著提高了攻击成功率。
关键设计:在设计中,个性化加密函数的选择和解密函数的嵌入是关键,确保了加密查询的有效性和模型的响应能力。
🖼️ 关键图片
📊 实验亮点
实验结果显示,CodeChameleon在7个大语言模型上实现了最先进的攻击成功率,特别是在GPT-4-1106上达到了86.6%的攻击成功率,显著优于现有方法,展示了其有效性和创新性。
🎯 应用场景
该研究的潜在应用领域包括对抗性攻击研究、模型安全性评估以及大语言模型的安全防护策略设计。通过深入理解越狱机制,可以为未来的模型开发提供更强的安全保障,降低被滥用的风险。
📄 摘要(原文)
Adversarial misuse, particularly through `jailbreaking' that circumvents a model's safety and ethical protocols, poses a significant challenge for Large Language Models (LLMs). This paper delves into the mechanisms behind such successful attacks, introducing a hypothesis for the safety mechanism of aligned LLMs: intent security recognition followed by response generation. Grounded in this hypothesis, we propose CodeChameleon, a novel jailbreak framework based on personalized encryption tactics. To elude the intent security recognition phase, we reformulate tasks into a code completion format, enabling users to encrypt queries using personalized encryption functions. To guarantee response generation functionality, we embed a decryption function within the instructions, which allows the LLM to decrypt and execute the encrypted queries successfully. We conduct extensive experiments on 7 LLMs, achieving state-of-the-art average Attack Success Rate (ASR). Remarkably, our method achieves an 86.6\% ASR on GPT-4-1106.