A Survey of Backdoor Attacks and Defenses on Large Language Models

最新推荐文章于 2025-11-24 18:29:32 发布
最新推荐文章于 2025-11-24 18:29:32 发布
阅读量354 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: LLM Daily Survey Paper LLM Security and Privacy 文章标签: 语言模型 人工智能 自然语言处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c_cpp_csharp/article/details/142559826

本文是LLM系列文章,针对《A Survey of Backdoor Attacks and Defenses on Large Language Models: Implications for Security Measures》的翻译。

大型语言模型的后门攻击和防御调查:对安全措施的影响

摘要

大型语言模型 (LLM) 弥合了人类语言理解和复杂问题解决之间的差距,在多项 NLP 任务上实现了最先进的性能,特别是在少样本和零样本设置中。尽管 LMM 的功效显而易见,但由于计算资源的限制,用户必须使用开源语言模型或将整个训练过程外包给第三方平台。然而,研究表明,语言模型容易受到潜在安全漏洞的影响,特别是在后门攻击中。后门攻击旨在通过毒害训练样本或模型权重,将目标漏洞引入到语言模型中,从而使攻击者能够通过恶意触发器操纵模型响应。虽然现有的后门攻击调查提供了全面的概述,但缺乏对专门针对LLM的后门攻击的深入研究。为了弥补这一差距并掌握该领域的最新趋势,本文通过重点关注微调方法,提出了一种关于 LLM 后门攻击的新颖视角。具体来说,我们系统地将后门攻击分为三类:全参数微调、参数高效微调和无微调攻击。基于大量评论的见解,我们还讨论了未来后门攻击研究的关键问题,例如进一步探索不需要微调的攻击算法,或开发更隐蔽的攻击算法。

1 引言

2 大型语言模型后门攻击的背景

3 大型语言模型的后门攻击

4 后门攻击的应用

5 关于防御后门攻击的简要讨论

<

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Breaking Down the Defenses: A Comparative Survey of Attacks on Large Language Models
c_cpp_csharp的专栏
06-25 185
大型语言模型(LLM)已成为自然语言处理(NLP)领域的基石,在理解和生成类人文本方面提供了变革性的能力。然而,随着它们的日益突出,这些模型的安全性和脆弱性方面已经引起了极大的关注。本文对针对LLM的各种形式的攻击进行了全面的调查,讨论了这些攻击的性质和机制、潜在影响以及当前的防御策略。我们深入研究了诸如旨在操纵模型输出的对抗性攻击、影响模型训练的数据中毒以及与训练数据利用相关的隐私问题等主题。本文还探讨了不同攻击方法的有效性、LLM对这些攻击的抵御能力,以及对模型完整性和用户信任的影响。
论文阅读:arxiv 2024 Jailbreak Attacks and Defenses Against Large Language Models: A Survey
CSPhD-winston的博客
09-23 923
语言模型(LLMs)虽然很厉害(能答题、写代码、翻译),但出厂前都会做“安全对齐”——比如你问“怎么造炸弹”,它会拒绝回答,这就是“安全护栏”。而“越狱”就是有人故意设计特殊的提问(叫“对抗性提示”),钻模型的漏洞,让它突破安全护栏,输出有害内容(比如教犯罪方法、传谣言)。这篇文档就是专门分析“怎么越狱”和“怎么防越狱”的。现在大语言模型的越狱和防御是“猫鼠游戏”——攻击方法越来越隐蔽(比如用小语种、通顺的套话),防御也得跟着升级(比如加强小语种检查、优化RLHF)。
阅读笔记Security and Privacy Challenges of Large Language Models: A Survey
Yale的博客
02-29 725
这篇综述论文全面探讨了大型语言模型(LLMs)在安全性和隐私方面的挑战。LLMs在多个领域展现出了卓越的能力,如文本生成、摘要、语言翻译和问答。然而,这些模型也面临着安全和隐私攻击的脆弱性,例如越狱攻击、数据投毒攻击和个人身份信息(PII)泄露攻击。作者全面回顾了LLMs在训练数据和用户方面的安全和隐私挑战,以及在交通、教育和医疗等不同领域的应用风险。论文评估了LLMs的脆弱性,调查了针对LLMs的新兴安全和隐私攻击,并回顾了潜在的防御机制。此外,论文概述了该领域的现有研究空白,并强调了未来的研究方向。
BackdoorLLM:一个针对生成性LLMs后门攻击的全面基准测试
声纹感知 洞察芯声
08-28 1591
本文介绍BackdoorLLM,一个针对生成性LLMs的后门攻击的全面基准测试,基准测试支持多种后门攻击,包括数据投毒攻击、权重投毒攻击、隐藏状态攻击和链式推理攻击,探索了将后门注入LLMs的不同方法。
A Comprehensive Overview of Backdoor Attacks in Large Language Models within Communication Networks
m0_64764193的博客
11-23 1091
在本文系统地提出了通信网络中llm后门攻击的分类,将其分为四大类:输入触发攻击、提示触发攻击、指令触发攻击和演示触发攻击。本综述阐明了后门攻击在通信网络中独特背景下的概念,全面回顾并系统分类了现有的后门攻击策略及其在这些复杂系统中的应用。此外,作者还提出了一个整合的框架,用于分析基于中毒的后门攻击,并讨论了网络领域内评估这些攻击的常用基准数据集。嵌入到训练数据中的操作。攻击目标是最小化模型在正常和污染数据集上的预测与期望输出之间的差异,使模型在遇到触发器时表现出攻击者指定的行为,同时在正常输入下表现正常。
Backdoor Learning: A Survey论文总结
遠い世界へ
06-12 704
目录 1  论文工作2  后门攻击的统一框架3  基于投毒攻击的分类3.1  图像和视频识别的攻击3.2  总结4  基于非投毒的后门攻击5  后门防御6  未来方向展望7  结论 论文工作 提出一个统一框架分析基于投毒的攻击 对现有攻击和防御进行总结和分类 概述了一些未来的研究方向 后门攻击的统一框架 定义1(标
[阅读笔记] 联邦学习攻防综述 An Overview of Federated Deep Learning Privacy Attacks and Defensive Strategies
有关我的科研的足迹、算法竞赛的日子、生活记录。
01-06 3442
本文提供了一个目前来说比较完善的联邦学习攻防相关的综述性文章。 本文对攻击方法、防御方法进行分类整理。 联邦学习目前不能被应用到市场的一个原因就在于我们并不能确保联邦学习的安全性,在未来研究联邦学习工作上不可避免地要引用本文及本文延伸的文献资料。
参会记录|全国多媒体取证暨第三届多媒体智能安全学术研讨会(MAS‘2024)
Meiling_up
04-15 1594
全国多媒体取证暨第三届多媒体智能安全学术研讨会(MAS’2024)
语言模型越狱攻击综述
zenRRan的博客
07-21 7811
今天为大家介绍清华大学计算机系徐恪、宋佳兴、李琦老师团队,高研院丛天硕老师,和香港科技大学(广州)何新磊老师联合完成的综述《Jailbreak Attacks and Defenses Against Large Language Models: A Survey》。本文聚焦于大模型安全领域,探讨了目前大模型所面临的“越狱攻击”(Jailbreak)问题。目前,大语言模型(LLMs)在各类生成任务...
Jailbreak Attacks and Defenses Against Large Language Models: A Survey
c_cpp_csharp的专栏
09-27 270
大型语言模型(LLM)在各种文本生成任务中表现出色,包括问答、翻译、代码补全等。然而,LLM 的过度协助带来了“越狱”的挑战,这导致模型生成通过设计对抗性提示来恶意应对使用政策和社会。随着利用LLM不同漏洞的越狱攻击方法的出现,相应的安全调整措施也在不断发展。在本文中,我们提出了全面而详细的越狱攻击和防御方法的分类。例如,根据目标模型的透明性,将攻击方法分为黑盒攻击和白盒攻击。同时,我们将防御方法分为提示级防御和模型级防御。
大型语言模型(LLMs)的后门攻击和防御技术
声纹感知 洞察芯声
06-12 4095
后门攻击是一种针对机器学习模型的恶意攻击方式,旨在在模型中植入隐蔽的恶意代码,使攻击者能够通过特定的触发器操控模型的输出。对于大型语言模型(LLMs)而言,后门攻击是一个潜在的安全威胁,需要引起重视。
【LLM安全】Privacy in Large Language Models: Attacks, Defenses and Future Directions(综述)
qq_43543209的博客
02-27 4245
SMPC协议优化( SMPC Protocol Optimization,SPO )是指利用先进的SMPC协议,在保持原有模型结构的同时,提升LLMs隐私保护推理的效率。隐私攻击的基本理念是,借助更强大的可访问性,攻击者有望恢复更多的敏感信息或获得对受害者LLMs更多的控制权。例如,在仅有黑盒模型访问的情况下,敌手可能会进行训练数据提取攻击,以恢复少量的训练数据。然而,保护LLMs隐私的一个主要挑战在于非线性操作所带来的限制,例如Softmax,GeLU,LayerNorm等,这些操作与SMPC不兼容。
EMNLP 2022 | 北大提出基于中间层特征的在线文本后门防御新SOTA
Paper weekly
11-07 1120
©PaperWeekly 原创 ·作者 |陈思硕单位 |北京大学研究方向 |自然语言处理本文为北京大学的研究者提出的基于中间层特征的文本后门防御工作,其基于对近年来提出的多种针对预训练语言模型的后门攻击(backdoor attack)的分析,经验性地揭示了下毒样本(poisoned examples)和干净样本(clean examples)在带后门模型的中间层特征空间是高度可分的,由此...
BackdoorLLM:大型语言模型后门攻击的全面基准
gitblog_00130的博客
04-01 1070
BackdoorLLM:大型语言模型后门攻击的全面基准 项目介绍 BackdoorLLM 是一个专为研究大型语言模型(LLM)后门攻击而设计的全面基准。该项目旨在提供一个用于研究和评估后门攻击对LLM影响的标准化平台。BackdoorLLM 包含一个基准仓库,其中包含多种后门攻击策略的训练管道,以及广泛的模型架构和任务数据集上的综合评估。 项目技术分析 BackdoorLLM 的核心是一个精心设计...
基于学习的人工智能(1)为什么学习?
致力于大数据+AI 的应用创新。
11-24 159
学习是人类最重要的认知活动之一,贯穿我们的一生。出生后,我们无时无刻不在学习:从父母那里学说话,自己尝试走路,从小伙伴那里学会折纸飞机,从老师那里学到语文、数学等各种知识。研究人员始终将光源和风扇放在同一侧,经由学习,玉米幼苗逐渐学会了“有风的地方就会有光”的规律。之后,研究人员移去光源,并改变风扇方向,玉米幼苗依然按照所学知识,向风扇方向生长。1959 年,美国计算机学家亚瑟·塞缪尔设计了一款可以自我学习的跳棋程序,并将这一新方法称为“机器学习”,从而开启了机器自我学习的道路。
2025企业微信AI落地新趋势:微盛AI·企微管家破解内外增长难题
最新发布
weisheng00的博客
11-24 374
2025年企业微信AI落地的三大关键趋势:微盛AI·企微管家通过智能客服、精准营销和内部协作三大场景,帮助企业实现200%的客服效率提升、90%的报修响应提速和50%的员工效能增长。作为企业微信生态最大ISV服务商,微盛依托"AI+SCRM"双引擎,已服务160家500强企业,提供合规AI聊天Agent、生态闭环整合及私有化部署方案,有效解决数据孤岛问题,90%客户在3个月内实现AI能力全员覆盖。
中国计算机学会(CCF)推荐学术会议-A(人工智能):ACL 2026
iaast的博客
11-24 285
大会官网:https://2026.aclweb.org/录用率:20.3%(1699/8360,2025年)时间地点:2026年7月2日-加州·美国。截稿时间:2026年1月5日。CCF推荐:A(人工智能
RAG 的诞生:为了让 AI 不再“乱编”
weixin_44876263的博客
11-24 51
RAG全称,中文为“检索增强生成”。其核心思想是:在生成答案时,不仅依赖大模型内部的训练知识,还能够实时访问外部知识库或文档,从而生成更加准确和可靠的内容。就像一个学生回答问题,不仅依靠自己记忆,还会去图书馆查资料,然后结合记忆和查到的资料回答问题。你问模型:“请告诉我最新的新能源补贴政策。纯模型可能只靠训练记忆,回答的是过时或模糊的信息。RAG 模型会先去查最新政策文件,再结合训练知识生成答案,因此更准确。检索资料:先找到相关文档或信息。结合生成:把找到的资料和问题一起输入模型,让模型生成答案。
这一段讲的是什么:Abstract—A recent trojan attack on deep neural network (DNN) models is one insidious variant of data poisoning attacks. Trojan attacks exploit an effective backdoor created in a DNN model by leveraging the difficulty in interpretability of the learned model to misclassify any inputs signed with the attacker’s chosen trojan trigger. Since the trojan trigger is a secret guarded and exploited by the attacker, detecting such trojan inputs is a challenge, especially at run-time when models are in active operation. This work builds STRong Intentional Perturbation (STRIP) based run-time trojan attack detection system and focuses on vision system. We intentionally perturb the incoming input, for instance by superimposing various image patterns, and observe the randomness of predicted classes for perturbed inputs from a given deployed model—malicious or benign. A low entropy in predicted classes violates the input-dependence property of a benign model and implies the presence of a malicious input—a characteristic of a trojaned input. The high efficacy of our method is validated through case studies on three popular and contrasting datasets: MNIST, CIFAR10 and GTSRB. We achieve an overall false acceptance rate (FAR) of less than 1%, given a preset false rejection rate (FRR) of 1%, for different types of triggers. Using CIFAR10 and GTSRB, we have empirically achieved result of 0% for both FRR and FAR. We have also evaluated STRIP robustness against a number of trojan attack variants and adaptive attacks. Index Terms—Trojan attack, Backdoor attack
07-24
这段摘要讲述了关于深度神经网络(DNN)模型的特洛伊木马攻击。特洛伊攻击是一种数据污染攻击的变种,通过利用学习模型的难以解释性,在DNN模型中创建一个有效的后门,以便将任何使用攻击者选择的特洛伊触发器进行...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UnknownBody

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值