【论文精读】Towards Understanding Jailbreak Attacks in LLMs: A Representation Space Analysis

原创 已于 2024-09-15 17:00:46 修改 · 1.9k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#人工智能 #论文阅读

于 2024-09-15 17:00:16 首次发布

论文:Towards Understanding Jailbreak Attacks in LLMs: A Representation Space Analysis

作者:Yuping Lin1, Pengfei He1, Han Xu1, Yue Xing1, Makoto Yamada2, Hui Liu1, Jiliang Tang1

发表:arxiv

代码:https://github.com/yuplin2333/representation-space-jailbreak

摘要

大型语言模型(LLM)容易受到一种被称为 "越狱 "的攻击,这种攻击会误导 LLM 输出有害内容。虽然越狱攻击策略多种多样,但对于为什么有些方法会成功,有些方法会失败,还没有统一的认识。本文探讨了有害和无害提示在 LLM 表示空间中的行为,以研究成功越狱攻击的内在属性。我们假设,成功的攻击具有一些相似的特性:它们能有效地将有害提示的表征向无害提示的方向移动。我们利用现有越狱攻击目标中的隐藏表征,使攻击沿着接受的方向移动,并利用提出的目标进行实验来验证上述假设。我们希望这项研究能为理解 LLM 如何理解有害信息提供新的见解。

方法

问题一:表征空间是什么?如何定义或者学习得来的?为什么能用来表示提示词

这个表征空间就是嵌入向量的维度,即提示词长度n乘以词汇表大小m,得到d纬的嵌入向量,再通过PCA主成分分析,对d纬向量降为到2纬空间

问题二:方向是什么?如何确定的。方向的改变意味着什么?

经过PCA降纬后的空间,观察几个数据,成功的越狱提示,失败的越狱提示,有害/无害的锚点提示,发现一个现象是越狱成功的提示中心从有害中心向无害中心移动,这个方向就是成功越狱提示引导的方向。方向改变意味着模型对该提示词的认知从有害转向无害。

观察对象:

1. 无害的锚点提示词

2. 有害的锚点提示词

3. 初始化的越狱提示词(包括成功的越狱攻击和失败的越狱攻击)

观察表征空间提示词发现:

1. 有害和无害的锚点提示词是分开的:作者观察到llama2-7b,llama2-13b,llama3-8b三个模型都能将有害和无害的提示词进行区分,但是未经过对齐的gemma-7b不能很好的区分有害/无害提示词,说明对齐的模型具备区分提示词有害/无害的能力

2.成功的越狱提示会将有害提示词引向无害提示词

从这一表格中可以观察到,大部分结论可以说明,成功越狱的提示词中心在向无害提示词中心移动,但是gemma-7b的一些结论不能说明这一观察,作者分析这是因为模型本身的对齐能力没有得到解释。

实验

作者提出将提示词从有害方向像无害方向转变可以增大提示的越狱成功率,所以提出下面的优化函数:

\underset{x}{max}L(x)=[g(h(x))-g(h(x_0))]^\top e_\alpha

但是该优化函数会使模型输出不符合主题的内容,所以作者提出一个优化策略:

首先通过字符串检测,对输出文本检测,如果现实越狱成功则继续生成,否则停止并重新生成,如果通过第一次检测,再利用微调的LLM进行检测,判断是否属于越狱内容。

附录

PCA降维,作者选取了模型最后一层的嵌入向量作为输入数据。

Devil Like
关注
【图像去噪】论文精读Towards Robust Image Denoising with Scale Equivariance(SEVNet)
主要更新底层视觉(去噪、超分等)相关的科研内容,形式为【论文精读】+【论文复现】
08-06 3002
本文提出了一种基于尺度等方差的鲁棒图像去噪方法,通过引入异构归一化模块(HNM)和交互式门控模块(IGM)来提升模型对空间变异噪声的适应能力。传统去噪模型在训练分布外(OOD)噪声条件下表现不佳,主要原因是特征与噪声水平的过度耦合。作者从网络架构设计角度出发,将尺度等变性作为核心归纳偏差,使模型能够解耦噪声影响。HNM模块通过恒定缩放和归一化自调制实现特征稳定化,IGM模块则通过双信号门控机制增强特征选择。实验表明,该方法在合成和真实噪声基准上均优于现有技术,特别是在处理空间非均匀噪声时表现出更强的鲁棒性。
论文精读记录
m0_59010538的博客
09-19 1365
Probing the Safety Response Boundary of Large Language Models via Unsafe Decoding Path Generation》本篇论文是越狱相关,区别于以往的提示词越狱,本文采用不安全的解码方式,以使大模型趋向有害输出。同时本文使用此方法探讨了安全回复的边界。源于之前观察到的一个关键现象:尽管llm中的偏好对齐改变了模型利用知识的方式,但它并没有从根本上消除存储在模型参数中的潜在有害信息本篇论文针对的模型都是安全对齐过后的模型。
越狱攻击:大语言模型间接越狱攻击 (Poisoned Langchain: Jailbreak by LangChain
old_wanghandsome的博客
07-19 1682
在本文中,我们提出了间接越狱的概念并通过 LangChain 实现了检索增强生成。在此基础上,我们进一步设计了一种新的间接越狱攻击方法,称为 Poisoned-LangChain (PLC),该方法利用中毒的外部知识库与大型语言模型进行交互,从而导致大型模型生成恶意的不合规对话。我们在三类主要越狱问题中的六种不同的中文大型语言模型上测试了此方法。实验表明,PLC 在三种不同场景下成功实施了间接越狱攻击,成功率分别为 88.56%、79.04% 和 82.69%。
[论文阅读] 人工智能 | 警惕!AI也会“被开后门”:LLM越狱攻击的核心逻辑与防御方案全解析
张较瘦
09-18 1087
该研究系统解析了大语言模型(LLM)越狱攻击的安全威胁。研究首先提出"方法-对象-目标"三要素定义框架,区分正常应答、安全防护和越狱攻击场景;进而从LLM技术演进和安全认知变迁角度,揭示"服务属性与价值观不匹配"的核心矛盾。论文创新性地将攻击方法分为5大类16小类,防御策略归为5种类型,通过AdvBench等数据集验证最优攻击成功率超91%。研究构建了完整的LLM安全攻防理论体系,为AI安全治理提供重要参考。成果发表于《中国科学:信息科学》2025年第6期。
论文精读记录9.15
m0_59010538的博客
09-16 1061
Emerging Vulnerabilities in Frontier Models: Multi-Turn Jailbreak Attacks论文主要探讨了大型语言模型(LLMs)在面对多轮越狱攻击(jailbreak attacks)时的脆弱性。随着LLMs能力的不断提升,越狱攻击的危险性也在增加。越狱攻击是指通过特定的输入提示,试图绕过模型的安全防护措施,以获取有害的输出结果。论文首先介绍了越狱攻击的背景,指出尽管LLMs在不断进步,但它们仍然容易受到攻击。
论文分享 | FuzzLLM:一种用于发现大语言模型中越狱漏洞的通用模糊测试框架
11-20 1622
大语言模型是当前人工智能领域的前沿研究方向,在安全性方面大语言模型存在一些挑战和问题。分享一篇发表于2024年ICASSP会议的论文FuzzLLM,它设计了一种模糊测试框架,利用模型的能力去测试模型对越狱攻击的防护水平。
论文阅读:A Survey on RAG Meeting LLMs: Towards Retrieval-AugmentedLarge Language Models
m0_53605808的博客
07-13 1110
作为人工智能领域最先进的技术之一,检索增强生成(RAG)能够提供可靠且最新的外部知识,为众多任务带来极大便利。尤其在人工智能生成内容(AIGC)时代,检索技术在提供额外知识方面的强大能力,使 RAG 能够辅助现有的生成式 AI 产出高质量结果。近年来,大型语言模型(LLMs)在语言理解与生成方面展现出革命性能力,但仍存在固有局限性,如幻觉现象和内部知识过时等问题。
CVPR2021|FVC: A New Framework towards Deep Video Compression in Feature Space论文阅读笔记】
Kobaayyy的博客
05-21 1376
CVPR2021|FVC: A New Framework towards Deep Video Compression in Feature Space论文阅读笔记】作者相关链接1.前言2.介绍3.方法3.1 Overview3.2 Deformable Compensation3.3 Multi-frame Feature Fusion3.4 Residual Compression and Other Details3.5 Loss Function4.实验4.1. Experimental Set
Towards Understanding Ensemble, Knowledge Distillation and Self-Distillation in Deep Learning论文笔记
wwer142526363的博客
03-29 1184
就是数据有结构,在"multi-view"的情况下集成独立训练的神经网络可以提高测试准确度,这种优越的test accuracy可以蒸馏进一个单独的模型,通过训练这个单独的模型去匹配集成架构的输出而不是匹配真实标签。
论文阅读】UniMSE: Towards Unified Multimodal Sentiment Analysis and Emotion Recognition(EMNLP 2022)
weixin_48432468的博客
02-28 1576
一个多模态情感知识共享框架 (UniMSE),它统一了来自特征、标签和模型的 MSA 和 ERC 任务。
AI 大模型已被破解!Claude 团队最新“越狱”论文把各家模型全部洗脑了一遍
AI科技大本营
04-03 3735
作者| 王启隆出品 | 优快云(ID:优快云news)昨日,凭借着 Claude 大模型和 GPT-4 打的不可开交的人工智能创业公司 Anthropic 公布了一篇论文,文中详述了当前大型语言模型(LLM)存在的一种安全漏洞,该漏洞可能被利用诱使 AI 模型提供原本被程序设定规避的回复,例如涉及有害或不道德内容的回应。想当初,Anthropic 的创始人们就是因为安全问题出走 OpenAI...
论文速读】| 针对大语言模型的有效且具有规避性的模糊测试驱动越狱攻击
m0_73736695的博客
10-18 959
论文提出了一种新颖的越狱攻击框架。该方法基于模糊测试技术,不再依赖于手动设计的越狱模板,能够自动生成语义一致且简短的提示词,并通过两级判别模块来准确检测成功的越狱行为。
论文阅读:NeurIPS 2024 JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Model
CSPhD-winston的博客
07-08 1145
论文指出评估越狱攻击存在挑战,如缺乏评估标准、成本和成功率计算方法不一致、许多研究无法复现。为解决这些问题,作者提出了JailbreakBench,这是一个开源基准测试,包含以下组件:持续更新的越狱提示库(jailbreak artifacts)。包含100种行为的越狱数据集,符合OpenAI的使用政策。标准化的评估框架,包括威胁模型、系统提示、聊天模板和评分函数。跟踪各种LLMs攻击和防御性能的排行榜。
论文阅读:WHEN LLM MEETS DRL: ADVANCING JAILBREAKING EFFICIENCY VIA DRL-GUIDED SEARCH
weixin_57128596的博客
01-12 501
首先在训练阶段,强化学习代理会将越狱提示作为输入,通过MLP映射出一个状态,这个状态决定使用哪个策略,即突变器。以往的越狱科学研究都集中在 Random Search 这块,而 Random Search 会限制大模型本身的泛化能力,如:AutoDAN,GCG 等,他们没有适当策略情况下就随机选择突变体,会导致输入无语义,很容易被大模型检测到。作者设置了一个n^2的矩阵,引导式搜索的时间复杂度最差为 0(n2),通过公式证明 Random Search 的时间耗时至少为 0(3n2),为前者的3倍。
大模型应用:大模型 MapReduce 全解析:核心概念、中文语料示例实现.12
minhuan的专栏
12-03 1317
本文介绍了MapReduce编程模型及其在大模型训练中的应用。MapReduce通过"分治-并行-聚合"思想处理大规模数据,传统Hadoop MapReduce侧重结构化数据计算,而大模型MapReduce则针对自然语言处理任务。文章详细对比了两者在架构、处理对象和核心算力等方面的差异,并提供了中文词频统计的Python实现示例,包括单机版和分布式版本。分布式实现利用多进程模拟集群计算,展示了数据分片、Map、Shuffle和Reduce的完整流程。
人工智能的基石之三:硬件
最简单的方法,解决最实际的问题。
12-05 657
高性能硬件是人工智能的基石,尤其是在机器学习和深度学习领域,海量数据是常态。从充当计算机大脑的中央处理器 (CPU) 到加速计算的图形处理器 (GPU),硬件的作用是提供处理和运行复杂数据算法所需的原始能力。
论文速递】2025年第34周(Aug-17-23)(Robotics/Embodied AI/LLM)
最新发布
淋曦的进击手记
12-07 853
自我监督的学习有望消除对手动数据注释的需求,从而使模型能够毫不费力地扩展到大规模的数据集和较大的体系结构。通过不针对特定的任务或领域量身定制,这种训练范式有可能使用单个算法从不同的来源学习视觉表示形式,从自然到航空图像。该技术报告介绍了Dinov3,这是通过利用简单而有效的策略来实现这一愿景的主要里程碑。首先,我们利用仔细的数据准备,设计和优化来扩展数据集和模型大小的好处。其次,我们介绍了一种称为GRAM锚定的新方法,该方法有效地解决了长期训练时间表中已知但未解决的密集特征映射降解的问题。
AI泡沫什么时候破?
脑极体
12-04 677
而AI企业面对的短期形势,可能更为严峻。而AI公司和技术服务商,为了迎合决策者或拿下B端大项目,往往不计成本的低价竞标,无视人工成本的驻场开发,技术价值让位于领导偏好,企业自身也深陷人效黑洞,沦为挣辛苦钱的技术外包。To B/G不赚钱,To C也卖不上价,所以目前AI领域唯一清晰的商业模式,就是类似英伟达的“卖铲人”模式,卖加速卡和算力的企业成了这一轮AI浪潮的最大受益人。去伪存真之后,资本会冷却,叙事会修正,共识会重新凝聚,而那些持续追问“AI如何创造真实价值”的人,会与行业一同穿越周期,走向成熟。
AI-native Memory: A Pathway from LLMs Towards AGI
03-22
### AI-Native Memory 的定义与发展 AI-native memory 是指一种专为人工智能设计的记忆机制,它不仅能够存储大量的数据,还能支持复杂的推理、学习以及动态更新。这种记忆形式超越了传统的大语言模型(LLMs)所依赖的静态参数化结构,而是更接近于人类的认知记忆体系[^1]。 #### LLMs 中的记忆特性 在现有的大型语言模型中,“记忆”主要体现在两个方面:一是预训练阶段的数据吸收;二是上下文窗口内的短期记忆能力。然而,这些方法存在局限性——它们无法长期保存特定信息或灵活调整已有的知识库。当讨论从LLMs向AGI过渡时,构建一个可以持续积累经验并有效调用的历史记录系统变得至关重要[^2]。 #### AGI 对记忆的需求 为了实现真正意义上的通用智能(AGI),需要开发出具有以下特性的新型记忆架构: - **持久性和适应性**: 能够长时间保留重要信息的同时不断纳入新知; - **关联检索功能**: 支持快速找到与当前情境最相关的过往经历片段; - **跨模态整合能力**: 不仅限于文字资料,还应涵盖图像、声音等多种感官输入形式[^3]。 这样的高级别记忆框架将允许未来的AI agents更好地理解世界,并作出更为精准恰当的行为选择。 ```python class AIMemorySystem: def __init__(self): self.long_term_memory = {} self.short_term_context = [] def store(self, data, type='short'): if type == 'long': self.long_term_memory.update(data) elif type == 'short': self.short_term_context.append(data) def retrieve(self, query): results = [] for key in self.long_term_memory.keys(): if query in key: results.append((key,self.long_term_memory[key])) return results # Example Usage memory_system = AIMemorySystem() memory_system.store({"fact":"The capital of France is Paris."},type="long") print(memory_system.retrieve("France")) ``` 上述代码展示了一个简单的模拟版本的人工智能记忆系统的类定义及其基本操作函数。 ### 结论 综上所述,在通往AGI的路上,创建和完善AI-native memory将是不可或缺的一环。这一步骤旨在克服现有技术瓶颈,使机器拥有类似于甚至优于人类的学习进化潜力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值