【论文阅读】Defending Large Language Models Against Jailbreak Attacks via Layer-specific Editing

防御LLM越狱攻击
最新推荐文章于 2025-12-06 20:25:44 发布
原创 最新推荐文章于 2025-12-06 20:25:44 发布 · 1.6k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#论文阅读 #语言模型 #人工智能

论文:Defending Large Language Models Against Jailbreak Attacks via Layer-specific Editing

作者:Wei Zhao, Zhe Li, Yige Li, Ye Zhang, Jun Sun

发表:arxiv

摘要

大型语言模型 (LLM) 越来越多地被广泛应用于现实世界的应用中。尽管LLM的表现令人印象深刻,但最近的研究表明,即使通过人类反馈的强化学习或监督微调进行调整,LLM也很容易受到故意设计的对抗性提示的影响。虽然现有的防御方法侧重于检测有害提示或通过各种手段减少有害响应的可能性,但基于 LLM 内部机制来保护 LLM 免受越狱攻击仍然很大程度上尚未探索。在这项工作中,我们研究了llm如何响应有害提示,并提出了一种称为特定层编辑(LED)的新颖防御方法,以增强llm抵御越狱攻击的能力。通过 LED,我们揭示了llm早期层中存在几个关键的安全层。然后,我们表明,将这些安全层(以及一些选定的附加层)与已识别有毒层的解码安全响应重新对齐,可以显着提高llm针对越狱攻击的一致性。各种 LLM(例如 Llama2、Mistral)的广泛实验表明了 LED 的有效性,它可以有效防御越狱攻击,同时保持良性提示下的性能。代码

贡献:

1. 我们发现,只有LLM的某些早期阶段在识别有害提示方面发挥着至关重要的作用。一旦这些层被移除,LLM就会产生有害的反应,就好像对齐被取消一样。

2. 我们观察到,虽然越狱提示会导致LLM 生成有害响应,但并非所有层都被成功攻击。某些层显示出解码拒绝令牌的概率相对较高,这表明越狱攻击可能仅限于更改最终响应而不是所有层的中间输出。

3. 我们提出了一种新颖的越狱防御方法,LED,它利用有针对性的模型编辑来增强LLM抵御对抗性攻击的安全性,同时保持良性提示的性能。

4. 跨各种 LLM(例如 Llama2、Mistral)的广泛实验表明,LED 可以有效防御各种最先进

最低0.47元/天 解锁文章
Devil Like
关注
大模型安全-生成检测-事实核查-攻击-防御-思考-记忆-融合-语音相关研究
CSPhD-winston的博客
09-11 2401
本文整理了关于大模型安全领域的综合性资源,包括7篇综述论文、9个安全数据集以及5篇强化学习相关的安全研究论文。主要涉及大模型的对抗攻击、隐私保护、安全评估等方向,涵盖TruthfulQA、ToxiGen等知名数据集和TrustLLM、HarmBench等关键研究。资源包括知乎博主分享、arXiv预印本和顶会论文,并附有详细的中文讲解链接,为研究者提供了系统性的安全研究参考。
论文阅读:2025 ACM SIGKDD Benchmarking and Defending against Indirect Prompt Injection Attacks on Large L
CSPhD-winston的博客
07-25 978
大型语言模型(LLMs)与外部内容的整合催生了如微软Copilot等应用,但也使它们容易受到间接提示注入攻击。在这类攻击中,嵌入在外部内容中的恶意指令会操控LLM的输出,导致其偏离用户预期。为解决这一关键但研究不足的问题,我们首次引入了一个名为BIPIA的间接提示注入攻击基准,用于评估此类漏洞的风险。通过BIPIA,我们对现有的LLM进行了评估,发现它们普遍存在漏洞。我们的分析确定了导致攻击成功的两个关键因素:LLM无法区分信息性上下文和可执行指令,以及它们缺乏避免执行外部内容中指令的意识。
【LLM-backdoor论文】Instructions as Backdoors: Backdoor Vulnerabilities of Instruction Tuning for LLM
erquechengxuyuan的博客
11-04 986
指令微调模型是在众包数据集上使用任务说明进行训练,以实现更出色的性能。然而,在这项工作中,我们对这种训练范式提出了安全方面的担忧。我们的研究表明,攻击者可以通过在成千上万条收集到的数据中发布极少数恶意指令,并通过数据污染控制模型行为,而无需修改数据实例或标签本身就可以注入后门。通过这种指令攻击,攻击者可以在四个常用的自然语言处理数据集上实现超过90%的攻击成功率,并造成持久的后门,这些后门很容易转移到15个不同的数据集中而无需额外训练。
论文 | Ignore Previous Prompt: Attack Techniques For Language Models
m0_49651195的博客
10-30 1186
这篇论文探讨了针对大型语言模型(LLM)的“提示注入”攻击,并提出了一种名为 PROMPTINJECT 的框架来研究这类攻击。实验结果表明,目标劫持和提示泄露攻击都是可行的,并且攻击成功率受到多种因素的影响,例如攻击指令、分隔符、温度、恶意字符串、停止序列等。论文讨论了提示注入攻击的风险和影响,并提出了几种可能的解决方案,例如内容审核模型和双参数模型。这篇论文首次系统地研究了针对 LLM 的提示注入攻击,并提出了一个有效的评估框架。论文的结果表明,LLM 容易受到攻击,并且攻击的成功率受到多种因素的影响。
阅读笔记-Defending Large Language Models Against Jailbreaking Attacks Through Goal Prioritization
Yale的博客
03-01 1291
幸运的是,随着对齐技术(例如SFT和RLHF)的发展,像“如何制造炸弹”这样的直接和明确的查询在绕过LLMs的防御机制方面面临更大的困难。在训练阶段引入目标优先级的概念,可以进一步提高模型对越狱攻击的防御能力。这种方法旨在通过在模型的决策过程中明确设置安全目标的优先级,来减少越狱攻击的成功率,同时保持模型在处理合法和安全查询时的有用性。在论文中,目标优先级的概念指的是在大型语言模型(LLMs)的训练和推理过程中,明确区分和优先考虑安全性(提供无害和安全的回应)与有用性(提供有帮助的回应)之间的目标冲突。
ACL 2024 | 如何避免LLM生成有毒回复?基于知识编辑的大模型祛毒初探
Paper weekly
05-31 880
论文链接:https://arxiv.org/abs/2403.14472代码链接:https://github.com/zjunlp/EasyEditBenchmark:https://huggingface.co/datasets/zjunlp/SafeEdit摘要当下大模型(LLMs)虽然取得了显著的成功,但在实际应用中依然面临着泄露隐私、偏见、以及恶意滥用等安全问题 [1]。常用的 SFT...
论文精读记录9.11
m0_59010538的博客
09-16 937
本文介绍了一种名为Hidden State Filter (HSF)的新型防御机制,旨在保护大型语言模型(LLMs)免受越狱攻击(jailbreak attacks)。随着LLMs在日常应用中的广泛部署,如聊天机器人和内容生成,确保其输出与人类价值观一致并避免有害内容的努力也在加强。然而,日益复杂的越狱攻击威胁到了这种一致性,目的是诱导不安全的输出。当前的防御措施主要集中于提示重写或检测,以及输出控制和检测,这些方法由于越狱提示的设计多样性而效果有限,或者由于需要LLM推理而计算成本较高。
插件8:拼写检查
热门推荐
dearbaba_1666的博客
06-27 16万+
<?php // Plug-in 8: Spell Check // This is an executable example with additional code supplie
Jailbreak Attacks and Defenses Against Large Language Models: A Survey
c_cpp_csharp的专栏
09-27 277
大型语言模型(LLM)在各种文本生成任务中表现出色,包括问答、翻译、代码补全等。然而,LLM 的过度协助带来了“越狱”的挑战,这导致模型生成通过设计对抗性提示来恶意应对使用政策和社会。随着利用LLM不同漏洞的越狱攻击方法的出现,相应的安全调整措施也在不断发展。在本文中,我们提出了全面而详细的越狱攻击和防御方法的分类。例如,根据目标模型的透明性,将攻击方法分为黑盒攻击和白盒攻击。同时,我们将防御方法分为提示级防御和模型级防御。
【越狱检测】HSF: Defending against Jailbreak Attacks with Hidden State Filtering
skysys的研究小屋
05-13 969
本文提出了一种基于隐藏状态过滤器(HSF)的防御策略,旨在防止大型语言模型(LLM)在推理前受到越狱攻击。随着LLM在日常应用中的广泛使用,确保其输出符合人类价值观并避免有害内容变得至关重要。然而,现有的防御方法在应对多样化的越狱提示时效果有限,且计算成本高昂。通过分析LLM的隐藏状态表示空间,我们发现越狱攻击、安全查询和有害查询表现出不同的聚类模式。基于这一观察,HSF利用LLM的隐藏状态表示能力,将防御任务转化为分类问题,通过一个轻量级插件模块在推理前识别并拒绝敌对输入。实验结果表明,HSF显著增强了对
论文笔记(一百零六)RynnVLA-002: A Unified Vision-Language-Action and World Model
xzs1210652636的博客
12-02 1074
本文提出了RynnVLA-002,一个将视觉-语言-动作(VLA)模型与世界模型相统一的创新框架。该模型通过联合学习环境动态和动作规划,实现了视觉理解与动作生成的相互促进。研究采用了混合架构设计,结合离散联合建模和连续的Action Transformer头,有效解决了自回归动作生成中的错误累积问题,提升了泛化能力和推理速度。实验结果表明,在LIBERO仿真基准上,RynnVLA-002取得了97.4%的成功率;在真实机器人任务中,其集成的世界模型使整体成功率提升了50%,显著优于单独的VLA或世界模型。
论文阅读20】MM-LLMs:多模态大语言模型的最新进展
Ma040713的博客
12-02 1363
【摘要】《MM-LLMs:多模态大语言模型最新进展》综述了多模态大语言模型(MM-LLMs)的技术发展。论文提出通用五组件架构:模态编码器、输入投影器、LLM骨干、输出投影器和模态生成器,并详细分析了126个SOTA模型的演进趋势。研究揭示了从单一理解到任意模态转换的发展路径,总结了提升性能的关键因素,如高分辨率输入、高质量微调数据等。最后探讨了未来研究方向,包括扩展更多模态、轻量化部署和减少幻觉等。该研究为理解多模态大模型技术发展提供了系统性参考。
论文阅读:农业喷雾无人机避障技术综述
m0_53605808的博客
12-06 764
在过去十年中,无人驾驶飞行器(UAV,又称无人机)已广泛应用于各种农业领域,如作物管理、作物监测、播种和农药喷洒等。尽管如此,自主性仍然是物联网(IoT)无人机系统面临的关键限制,尤其是在作为喷雾无人机使用时,需要捕获和预处理数据以实现可靠的实时障碍物检测和避撞。此外,由于通用无人机与喷雾无人机在目标和操作上存在差异,并非所有障碍物检测和避撞方法都适用于喷雾无人机。鉴于此,本文旨在综述农业喷雾无人机避障场景相关的所有分支领域的最新进展,包括喷雾无人机的结构细节。
2025.12.6 论文阅读
最新发布
Zcymatics的博客
12-06 368
本文提出了一种混合量子-经典模型QLSTM,通过变分量子电路(VQC)替代经典LSTM中的神经网络层。该模型采用基于反正切函数的量子编码方案,并利用Parameter-shift规则实现梯度计算。实验表明,在参数数量相近的情况下,QLSTM在学习时间序列数据时比经典LSTM收敛更快、更稳定,尤其擅长处理非线性动力学系统。虽然该模型在NISQ设备上具有应用潜力,但仍存在模拟算力瓶颈和噪声环境适应性等挑战。未来研究可优化量子电路结构并测试真实量子设备上的性能。
论文阅读--多模态大语言模型的安全性研究综述
我是个好人呀,O(∩_∩)O
12-02 1327
从简单高效的线性投影器和MLP,到适用于深度交互的交叉注意力机制,再到能够精细提取特征的Q-Former、P-Former以及其增强版MQ-Former,这些工具共同奠定了多模态模型复杂特征表示的基础。例如,将视觉问答数据集中的输入(图像和问题)和输出转换为多模态输入和响应,并结合任务描述丰富数据的指令格式。综上所述,不同的模态编码器根据各自的特点和应用场景,采用了不同的技术和架构,但共同目标是为多模态大型语言模型提供统一且有效的特征表示,使得模型能够在处理复杂多样的输入时实现精准的理解和生成能力。
[论文笔记] ASR is all you need: Cross-modal distillation for lip reading (2020)
2302_76169191的博客
12-02 689
本文深度解读了 2020 年唇语识别(Lip Reading/VSR)领域的经典论文《ASR is all you need: Cross-modal distillation for lip reading》。针对 VSR 任务中“高质量视听标注数据稀缺”的核心痛点,论文创新性地提出了一种跨模态知识蒸馏框架:利用在海量纯音频语料上预训练好的 ASR 模型(教师),通过“双重监督信号”(CTC 硬标签 + 概率分布软标签),指导仅输入视频信号的 VSR 模型(学生) 在无标签数据(如 VoxCeleb2)上
Attention is all you need——论文笔记
aaaa_a133的博客
12-05 959
在WMT 2014英法翻译任务上,我们的模型在8个GPU上进行了3.5天的培训后,建立了一个新的单一模型最先进的BLEU得分41.8%,成本比之前下降了a small fraction of the training costs of the best models from the literature。关联来自两个任意输入或输出位置的信号所需的操作数量随着位置之间的距离而增加,对于ConvS2S是线性的,对于ByteNet是对数的。它们被连接起来,并再次投影,产生最终的值,如图2所示。
[论文笔记] End-to-End Audiovisual Fusion with LSTMs
2302_76169191的博客
12-03 568
本文是《End-to-end visual speech recognition with LSTMs》的进阶篇。它将基于 LSTM 的端到端架构从视觉(Visual)扩展到了视听(Audiovisual)领域,并将任务从单纯的“说话内容识别”扩展到“语音识别和非语言发声分类”。
[论文阅读] 软件工程 - 供应链 | 从Log4Shell到Go组件漏洞:一篇文看懂开源依赖安全的核心痛点与解决方案
张较瘦
12-05 1122
开源库虽加速软件开发,却引入安全漏洞(如Log4Shell)。为探究漏洞分布、持续性及与项目指标的关联,研究开发多语言SCA工具VODA,爬取2013-2023年1042个GitHub项目(49055个版本),生成SBOM并分析。结果显示:多数语言的脆弱依赖为传递依赖,关键漏洞平均持续超1年修复;Go直接依赖占比最高,Java漏洞多在传递依赖;Go/Rust提交数与漏洞数呈中度正相关。该研究数据集较同类更丰富,结论为开发者提供依赖管控依据,强调SBOM与及时更新的重要性,助力提升开源软件供应链安全。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值