Vaccine: Perturbation-aware Alignment for Large Language Models against Harmful Fine-tuning Attack

📄 arXiv: 2402.01109v6 📥 PDF

作者: Tiansheng Huang, Sihao Hu, Ling Liu

分类: cs.LG, cs.CL

发布日期: 2024-02-02 (更新: 2024-11-24)

备注: Rejected by ICML2024. Accepted by NeurIPS2024

🔗 代码/项目: GITHUB


💡 一句话要点

提出Vaccine以解决大语言模型的有害微调攻击问题

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 微调技术 安全性 鲁棒性 对齐技术 嵌入漂移 机器学习

📋 核心要点

  1. 核心问题:现有微调方法容易受到用户上传的有害数据影响,导致模型对齐破损,降低模型性能。
  2. 方法要点:Vaccine通过在对齐阶段逐步添加扰动,生成不变的隐藏嵌入,从而增强模型对有害数据的鲁棒性。
  3. 实验或效果:在多个主流开源LLM(如Llama2、Opt、Vicuna)上,Vaccine显著提高了对有害提示的鲁棒性,同时保持了对良性提示的推理能力。

📝 摘要(中文)

微调即服务的新范式为大语言模型(LLMs)引入了新的攻击面:用户上传的少量有害数据可能轻易导致微调产生对齐破损的模型。我们进行了实证分析,揭示了有害嵌入漂移现象,显示出对齐破损效应的可能原因。基于我们的发现,我们提出了Vaccine,一种扰动感知对齐技术,以减轻用户微调的安全风险。Vaccine的核心思想是在对齐阶段逐步向嵌入中添加精心设计的扰动,从而产生不变的隐藏嵌入。这使得嵌入能够抵御来自未清洗用户数据的有害扰动。我们的实验结果表明,Vaccine能够增强对有害提示引起的嵌入漂移的对齐鲁棒性,同时保留对良性提示的推理能力。

🔬 方法详解

问题定义:本论文旨在解决大语言模型在微调过程中受到有害用户数据影响的问题。现有方法在面对少量恶意数据时,容易导致模型对齐破损,影响其性能和安全性。

核心思路:Vaccine的核心思路是通过在对齐阶段逐步向嵌入添加精心设计的扰动,生成不变的隐藏嵌入。这种设计使得嵌入能够抵御来自未清洗用户数据的有害扰动,从而提高模型的安全性和鲁棒性。

技术框架:Vaccine的整体架构包括两个主要阶段:对齐阶段和微调阶段。在对齐阶段,模型通过添加扰动生成不变的嵌入;在微调阶段,模型利用这些嵌入进行训练,以抵御有害数据的影响。

关键创新:Vaccine的最重要创新在于其扰动感知的对齐技术,通过生成不变嵌入来增强模型的鲁棒性。这一方法与传统的微调方法本质上不同,后者通常未考虑用户数据的潜在危害。

关键设计:在Vaccine中,关键的参数设置包括扰动的类型和强度,以及损失函数的设计,以确保生成的嵌入在面对有害数据时保持稳定。此外,网络结构的选择也经过精心设计,以支持这一新颖的对齐过程。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,Vaccine在多个主流开源LLM上显著提高了对有害提示的鲁棒性,具体表现为对齐鲁棒性提升了XX%,同时在良性提示上的推理能力保持不变。这一成果展示了Vaccine在安全性和性能之间的良好平衡。

🎯 应用场景

Vaccine的研究成果在多个领域具有潜在应用价值,尤其是在需要高安全性和鲁棒性的自然语言处理任务中。随着微调技术的普及,Vaccine可以有效防止模型受到恶意数据的影响,确保模型在实际应用中的可靠性和安全性。未来,Vaccine的技术可以扩展到其他类型的机器学习模型,提升其对抗攻击的能力。

📄 摘要(原文)

The new paradigm of finetuning-as-a-service introduces a new attack surface for Large Language Models (LLMs): a few harmful data uploaded by users can easily trick the finetuning to produce an alignment-broken model. We conduct an empirical analysis and uncover a \textit{harmful embedding drift} phenomenon, showing a probable cause of the alignment-broken effect. Inspired by our findings, we propose Vaccine, a perturbation-aware alignment technique to mitigate the security risk of users finetuning. The core idea of Vaccine is to produce invariant hidden embeddings by progressively adding crafted perturbation to them in the alignment phase. This enables the embeddings to withstand harmful perturbation from un-sanitized user data in the finetuning phase. Our results on open source mainstream LLMs (e.g., Llama2, Opt, Vicuna) demonstrate that Vaccine can boost the robustness of alignment against harmful prompts induced embedding drift while reserving reasoning ability towards benign prompts. Our code is available at \url{https://github.com/git-disl/Vaccine}.