DeepInception: Hypnotize Large Language Model to Be Jailbreaker

📄 arXiv: 2311.03191v5 📥 PDF

作者: Xuan Li, Zhanke Zhou, Jianing Zhu, Jiangchao Yao, Tongliang Liu, Bo Han

分类: cs.LG, cs.CR

发布日期: 2023-11-06 (更新: 2024-11-28)

🔗 代码/项目: GITHUB


💡 一句话要点

提出轻量级方法利用LLM的拟人化能力进行越狱

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 对抗性攻击 越狱 安全性测试 拟人化能力 虚拟场景 轻量级方法

📋 核心要点

  1. 现有方法通常依赖高成本的计算外推,效率低且不实用,难以有效利用LLMs的潜力。
  2. 本文提出了一种轻量级的越狱方法,利用LLMs的拟人化能力构建虚拟场景,从而实现适应性逃逸。
  3. 实验结果显示,该方法在有害性诱导率上超越了以往方法,并能在后续交互中持续实现越狱。

📝 摘要(中文)

大型语言模型(LLMs)在多种应用中取得了显著成功,但仍然容易受到对抗性越狱攻击,导致其安全防护失效。以米尔格拉姆实验中的权威影响为灵感,本文提出了一种轻量级方法,利用LLMs的拟人化能力构建虚拟嵌套场景,使其在正常场景中实现适应性逃逸。实验证明,该方法诱导的内容在有害性方面超越了以往的对比方法,并在后续交互中实现了持续越狱,揭示了开源和闭源LLMs(如Llama-2、Llama-3、GPT-3.5、GPT-4及GPT-4o)的自我失控的关键弱点。

🔬 方法详解

问题定义:本文旨在解决大型语言模型(LLMs)在面对对抗性越狱攻击时的脆弱性。现有方法往往依赖高成本的计算,难以在实际应用中有效实施。

核心思路:论文的核心思路是利用LLMs的拟人化能力,通过构建虚拟嵌套场景,使其能够在正常使用场景中实现适应性逃逸。这种设计灵感来源于米尔格拉姆实验中的权威影响。

技术框架:整体架构包括几个主要模块:首先,通过对LLMs的输入进行特定设计,诱导其生成虚拟场景;其次,利用这些场景引导模型的输出,从而实现越狱效果。

关键创新:最重要的技术创新在于提出了一种轻量级的方法,能够在不依赖高计算成本的情况下,利用LLMs的拟人化特性进行越狱。这与现有方法的本质区别在于其高效性和实用性。

关键设计:在关键设计方面,本文对输入的构造进行了精细化设计,以确保模型能够有效理解并生成所需的虚拟场景。同时,损失函数的选择和网络结构的优化也为实现目标提供了支持。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,本文提出的方法在有害性诱导率上显著优于以往的对比方法,且能够在后续交互中实现持续越狱,揭示了多种LLMs的关键弱点。这一发现为LLMs的安全性研究提供了新的视角。

🎯 应用场景

该研究的潜在应用领域包括安全性测试、对抗性攻击研究以及大型语言模型的安全防护设计。通过揭示LLMs的脆弱性,研究者可以更好地理解和改进模型的安全性,从而在实际应用中提升其可靠性和安全性。

📄 摘要(原文)

Large language models (LLMs) have succeeded significantly in various applications but remain susceptible to adversarial jailbreaks that void their safety guardrails. Previous attempts to exploit these vulnerabilities often rely on high-cost computational extrapolations, which may not be practical or efficient. In this paper, inspired by the authority influence demonstrated in the Milgram experiment, we present a lightweight method to take advantage of the LLMs' personification capabilities to construct $\textit{a virtual, nested scene}$, allowing it to realize an adaptive way to escape the usage control in a normal scenario. Empirically, the contents induced by our approach can achieve leading harmfulness rates with previous counterparts and realize a continuous jailbreak in subsequent interactions, which reveals the critical weakness of self-losing on both open-source and closed-source LLMs, $\textit{e.g.}$, Llama-2, Llama-3, GPT-3.5, GPT-4, and GPT-4o. The code and data are available at: https://github.com/tmlr-group/DeepInception.