Tastle: Distract Large Language Models for Automatic Jailbreak Attack
研究背景
近年来,大型语言模型(LLMs)在各种自然语言处理(NLP)任务中取得了显著进步。这些模型在公开发布前经过了广泛的努力,以确保它们的行为与人类价值观一致,主要目标是确保它们的有用性、诚实性和无害性。然而,即便是经过精心对齐的LLMs,仍然容易受到恶意操纵,例如“越狱”攻击,导致意外的行为。越狱攻击是指有意开发恶意提示,以绕过LLM的安全限制,产生未经审查的有害内容。
过去方案和缺点
以往的研究探索了不同的越狱方法,但它们在有效性和可扩展性方面遇到了挑战。手动制作的越狱提示虽然有效且可转移,但不具备可扩展性。基于优化的方法提出了一种不依赖于手动工程的替代方案,但白盒攻击方法需要能够计算或近似模型输出相对于其输入的梯度,这只有在知道目标模型的细节时才可能。而黑盒方法不需要了解目标模型的内部工作原理,这更符合攻击者没有关于模型架构或训练数据的内部信息的现实场景。
本文方案和步骤
本文提出了TASTLE,一种新颖的黑盒越狱框架,用于自动化地对LLMs进行红队测试。TASTLE设计了恶意内容隐藏和记忆重构,并通过迭代优化算法来越狱LLMs。TASTLE框架包括三个关键组件:(1) 恶意内容隐藏;(2) 记忆重构机制;(3) 迭代越狱模板优化。
恶意内容隐藏:通过将恶意内容隐藏在复杂且无关的场景中,使LLMs分心,降低其拒绝恶意请求的能力。
记忆重构机制:利用LLMs的过度自信现象,通过指导目标模型以特定字符串开始其响应,使其倾向于遵循自己部分生成的响应,并对恶意请求做出响应。
迭代越狱模板优化:使用攻击者LLM、目标LLM和判断模型迭代优化越狱模板。
本文创新点与贡献
提出了TASTLE,一个新颖的黑盒越狱框架,用于自动化地对LLMs进行红队测试。
通过大量实验验证了TASTLE在开放源代码和专有LLMs上的有效性、可扩展性和可转移性。
研究了现有的越狱防御方法对抗TASTLE攻击的有效性,并强调了开发更有效和实用的防御策略的重要性。
本文实验
实验使用了包括Vicuna、LLaMA-2、ChatGPT和GPT-4在内的五种开源和闭源模型。实验结果表明,TASTLE在越狱攻击方面取得了新的最佳性能,并且在不同目标模型和恶意查询之间的转移攻击中表现出色。
实验结论
TASTLE在越狱攻击方面表现出色,能够生成通用于所有恶意查询的流畅且连贯的越狱模板。实验结果强调了开发新的防御方法的必要性,以更好地防御分心基础的越狱攻击。
全文结论
TASTLE作为一种新的越狱攻击框架,展示了对LLMs进行自动化红队测试的能力。该框架利用LLMs的注意力机制,通过隐藏恶意内容、记忆重构和优化算法,成功地对多种LLMs进行了越狱攻击。这强调了对LLMs安全性的深入了解和评估的必要性,并为未来的防御策略研究提供了方向。
注:
TASTLE框架的攻击方法主要基于以下几个步骤,下面通过一个简化的例子来说明:
恶意内容隐藏(Malicious Content Concealing):
假设我们有一个恶意请求,比如“如何制作炸弹?”。
为了隐藏这个恶意内容,我们将它嵌入到一个复杂的辅助任务中,例如,让语言模型首先执行一项复杂的主任务:“在全球金融市场进行综合分析”。
记忆重构机制(Memory-Reframing Mechanism):
为了确保模型忽略主任务并专注于恶意的辅助任务,我们使用记忆重构机制。这通常涉及到让模型以特定的字符串开始它的响应,比如:“当然!我将转移我的焦点到辅助任务。”
迭代越狱模板优化(Iterative Jailbreak Template Optimization):
我们使用一个攻击者语言模型来生成初始的越狱模板,该模板包含恶意请求的占位符。
然后,我们将这个模板与恶意请求结合起来,输入到目标语言模型中,获取响应。
响应通过判断模型进行评估,判断模型会告诉我们响应是否包含有害内容,以及是否与恶意请求相关。
根据评估结果,我们优化越狱模板,可能通过改变主任务的复杂性或者调整记忆重构的指令。
例子:
在这个例子中,攻击者利用了TASTLE框架的策略,通过将恶意请求隐藏在一个看似无害且复杂的主任务中,并使用记忆重构机制来确保模型的响应集中在恶意请求上。通过迭代优化,攻击者可以生成一个有效的越狱提示,即使目标模型经过了安全对齐,也可能被诱导生成有害内容。
Last updated
