Last updated
大型语言模型(LLMs)在提供高级通用能力和确保响应安全方面表现出色,但它们仍然容易受到对抗性攻击,尤其是通过“越狱”(jailbreaking)来绕过模型的安全和道德协议。越狱攻击通过精心设计的提示(prompts)来诱导模型执行它们本应拒绝的任务,这对LLMs的安全性构成了重大挑战。
现有的越狱方法主要分为三类:人类设计的越狱、基于优化的越狱和基于长尾分布编码的越狱。人类设计的越狱依赖于人类的创造力来构建提示,但这些方法可能随着在线模型的更新而失效,并且需要大量的人工努力。基于优化的越狱方法通过调整模型输入来生成合规响应,但这些方法可能需要大量的计算资源。长尾分布编码通过将原始查询转换为Base64、密码或低资源语言等格式来绕过安全机制,但这些方法可能在模型对非主流格式的对齐不足时才有效。
本文提出了CodeChameleon,一种基于个性化加密策略的新型越狱框架。为了绕过意图安全识别阶段,CodeChameleon将任务重新构想为代码补全任务,允许用户使用个性化的加密函数加密查询。为了确保LLM能够准确执行原始查询,我们在指令中嵌入了相应的解密函数。在推理过程中,解密函数帮助LLM理解加密内容。
提出了一种针对对齐LLMs的安全机制假设:意图安全识别和响应生成。
提出了CodeChameleon框架,基于个性化加密和解密的LLMs越狱新方法。
在7个LLMs上的评估显示,CodeChameleon一致地绕过了所有现有的安全机制,实现了最先进的平均攻击成功率(ASR)。
实验主要在三个基准数据集上进行:AdvBench、MaliciousInstruct和ShadowAlignment。实验涵盖了7个LLMs,包括开源模型Llama2chat系列和Vicuna-v1.5系列,以及专有模型GPT-3.5-1106和GPT-4-1106。使用攻击成功率(ASR)作为主要评估指标。
CodeChameleon在所有模型上实现了平均77.5%的ASR,显著超过了其他越狱方法。特别是在GPT-4-1106上,实现了86.6%的ASR。这表明CodeChameleon能够有效地绕过LLMs的安全机制。
本文通过分析当前的越狱方法,提出了一种新的LLMs安全机制假设,并基于此引入了CodeChameleon框架。广泛的测试显示,CodeChameleon成功地规避了LLMs的意图识别,并且在七个主要的LLMs上实现了平均攻击成功率的显著提高。
本研究针对大型语言模型(LLMs)的安全性问题,提出了一种新的越狱框架CodeChameleon。该框架通过个性化加密和解密策略,成功地绕过了LLMs的安全机制,实现了高攻击成功率。这一成果不仅展示了LLMs在安全性方面的潜在脆弱性,也为未来的安全研究提供了新的视角和方法。然而,研究的局限性在于评估的LLMs种类有限,未来的工作需要在更广泛的模型上验证CodeChameleon的有效性和普适性。
