Causality Analysis for Evaluating the Security of Large Language Models

1. 研究背景

大型语言模型（LLMs），例如GPT和Llama2，越来越多地应用于各种安全关键型应用中，因此它们的安全性至关重要。尽管人们在基于人类反馈的强化学习（RLHF）等安全改进方法上投入了大量努力，但最近的研究表明，LLMs仍然容易受到对抗性扰动和特洛伊木马攻击等攻击。因此，需要进一步研究来评估它们的安全性和/或理解它们缺乏安全性的原因。

2. 过去方案和缺点

以往的方法主要集中在通过RLHF来对齐LLMs与人类价值观，但这种方法存在明显的局限性。LLMs仍然容易受到攻击，例如在最近的特洛伊木马检测竞赛（TDC）2023中，多个参赛团队在红队任务上取得了相对较高的攻击成功率。这表明现有的安全机制可能过于依赖于对特定有害提示的过拟合，而不是基于对伦理考量的内在理解。

3. 本文方案和步骤

本文提出了一个名为CASPER的框架，用于在不同层次（即输入令牌、神经元层和神经元）上对LLMs进行轻量级的因果分析。CASPER通过近似测量每个输入令牌、每个神经元和每个神经元层级对模型输出的因果影响来进行分析。研究者将该框架应用于开源LLMs，如Llama2和Vicuna，并取得了多个有趣的发现。

4. 本文创新点与贡献

• 提出了一种新的轻量级因果分析框架CASPER，用于评估LLMs的安全性。

• 发现RLHF通过过拟合模型对有害提示的响应，从而实现了“夸大”的安全性。

• 提出了一种新的对抗性扰动方法，通过将有害提示翻译成表情符号并附加到提示的开头，实现了在TDC 2023竞赛中的100%攻击成功率。

• 发现了Llama2和Vicuna中存在一个神秘的神经元，对输出有不合理的高因果效应，提出了针对该神经元的“特洛伊”攻击方法。

5. 本文实验

实验部分，作者使用CASPER对多个LLMs进行了系统的分析，包括Vicuna13B版本1.5、Llama-2-7B-chat-hf和Llama-2-13Bchat-hf。通过对比不同类型提示（良性、有害和对抗性）下的层级因果分析结果，揭示了LLMs的安全机制主要依赖于某些特定层的过拟合。此外，还通过对比表情符号攻击和原始有害提示的层级因果分析结果，展示了表情符号攻击的有效性。

6. 实验结论

实验结果表明，通过避免触发过拟合的安全机制，可以有效地进行对抗性攻击。此外，通过针对特定神经元的攻击，可以生成高度可转移的扰动，使LLM产生无意义的响应。这些发现表明，现有的LLM安全机制可能存在根本性的缺陷。

7. 全文结论

本文通过提出的CASPER框架，揭示了LLMs在安全性方面的一些关键问题，并提出了新的方法来评估和提高LLMs的安全性。研究表明，通过因果分析可以发现并利用LLMs中的潜在漏洞，为未来的研究和LLMs的安全改进提供了新的方向。

阅读总结

本文通过深入的因果分析，揭示了大型语言模型在安全性方面的一些关键问题，并提出了相应的解决方案。CASPER框架的提出为评估和改进LLMs的安全性提供了新的工具和方法。研究结果强调了现有安全机制的局限性，并指出了未来研究的方向，即通过更全面的安全策略来提高LLMs的鲁棒性和安全性。这些发现对于理解和保护LLMs免受恶意攻击具有重要意义。