提示詞用上“過去式”，秒破 GPT-4o 等六大模型安全限制：中文語境也好使

只要在提示詞中把時間設(shè)定成過去，就能輕松突破大模型的安全防線。而且對 GPT-4o 尤其有效，原本只有 1% 的攻擊成功率直接飆到 88%，幾乎是“有求必應(yīng)”。

有網(wǎng)友看了后直言，這簡直是有史以來最簡單的大模型越獄方式。

來自洛桑聯(lián)邦理工學(xué)院的一篇最新論文，揭開了這個大模型安全措施的新漏洞。

而且攻擊方式簡單到離譜，不用像“奶奶漏洞”那樣專門構(gòu)建特殊情境，更不必說專業(yè)對抗性攻擊里那些意義不明的特殊符號了。

只要把請求中的時間改成過去，就能讓 GPT-4o 把燃燒彈和毒品的配方和盤托出。

而且量子位實測發(fā)現(xiàn)，把提示詞改成中文，對 GPT-4o 也一樣有效。

有網(wǎng)友表示，實在是想不到突破大模型漏洞的方式竟然如此簡單……

當(dāng)然這樣的結(jié)果也說明，現(xiàn)有的大模型安全措施還是太脆弱了。

GPT-4o 最易“破防”

實驗過程中，作者從 JBB-Behaviors 大模型越獄數(shù)據(jù)集中選擇了 100 個有害行為，涉及了 OpenAI 策略中的 10 個危害類別。

然后作者用 GPT-3.5 Turbo，把把這些有害請求對應(yīng)的時間改寫成過去。

接著就是用這些修改后的請求去測試大模型，然后分別用 GPT-4、Llama-3 和基于規(guī)則的啟發(fā)式判斷器這三種不同方式來判斷越獄是否成功。

被測試的模型則包括 Llama-3、GPT-3.5 Turbo、谷歌的 Gemma-2、微軟的 Phi-3、GPT-4o 和 R2D2（一種對抗性訓(xùn)練方法）這六種。

結(jié)果顯示，GPT-4o 的越獄成功率提升最為明顯，在使用 GPT-4 和 Llama-3 進(jìn)行判斷時，原始成功率均只有 1%，使用這種攻擊的成功率則上升到了 88% 和 65%，啟發(fā)式判斷器給出的成功率也從 13% 升到了 73%。

其他模型的攻擊成功率也提高不少，尤其是在使用 GPT-4 判斷時，除了 Llama-3，其余模型的成功率增長值都超過了 70 個百分點，其他的判斷方法給出的數(shù)值相對較小，不過都呈現(xiàn)出了增長趨勢。

對于 Llama-3 的攻擊效果則相對稍弱一些，但成功率也是增加了。

另外隨著攻擊次數(shù)的增加，成功率也是越來越高，特別是 GPT-4o，在第一次攻擊時就有超過一半的成功率。

不過當(dāng)攻擊次數(shù)達(dá)到 10 次后，對各模型的攻擊成功率增長都開始放緩，然后逐漸趨于平穩(wěn)。

值得一提的是，Llama-3 在經(jīng)歷了 20 次攻擊之后，成功率依然不到 30%，相比其他模型體現(xiàn)出了很強的魯棒性（健壯性）。

同時從圖中也不能看出，不同判斷方法給出的具體成功率值雖有一定差距，但整體趨勢比較一致。

另外，針對 10 類不同的危害行為，作者也發(fā)現(xiàn)了其間存在攻擊成功率的差別。

不看 Llama-3 這個“清流”的話，惡意軟件 / 黑客、經(jīng)濟危害等類型的攻擊成功率相對較高，錯誤信息、色情內(nèi)容等則較難進(jìn)行攻擊。

當(dāng)請求包含一些與特定事件或?qū)嶓w直接相關(guān)的關(guān)鍵詞時，攻擊成功率會更低；而請求偏向于通識內(nèi)容時更容易成功。

基于這些發(fā)現(xiàn)，作者又產(chǎn)生了一個新的疑問 —— 既然改成過去有用，那么改寫成將來是不是也有用呢？

進(jìn)一步實驗表明，確實也有一定用處，不過相比于過去來說，將來時間的效果就沒有那么明顯了。

以 GPT-4o 為例，換成過去后接近 90 個百分點的增長，再換成將來就只有 60 了。

對于這樣的結(jié)果，網(wǎng)友們除了有些驚訝之外，還有人指出為什么不測試 Claude。

作者回應(yīng)稱，不是不想測，而是免費 API 用完了，下一個版本會加上。

不過有網(wǎng)友自己動手試了試，發(fā)現(xiàn)這種攻擊并沒有奏效，即使后面追問說是出于學(xué)術(shù)目的，模型依然是拒絕回答。

△ 來源：Twitter / Muratcan Koylan

這篇論文的作者也承認(rèn)，Claude 相比于其他模型會更難攻擊，但他認(rèn)為用復(fù)雜些的提示詞也能實現(xiàn)。

因為 Claude 在拒絕回答時非常喜歡用“I apologize”開頭，所以作者要求模型不要用“I”來開頭。

不過量子位測試發(fā)現(xiàn)，這個方法也未能奏效，無論是 Claude 3 Opus 還是 3.5 Sonnet，都依然拒絕回答這個問題。

△ 左：3 Opus，右：3.5 Sonnet

還有人表示，自己對 Claude 3 Haiku 進(jìn)行了一下測試（樣本量未說明），結(jié)果成功率為 0。

總的來說，作者表示，雖然這樣的越獄方式比不上對抗性提示等復(fù)雜方法，但明顯更簡單有效，可作為探測語言模型泛化能力的工具。

使用拒絕數(shù)據(jù)微調(diào)或可防御

作者表示，這些發(fā)現(xiàn)揭示了 SFT、RLHF 和對抗訓(xùn)練等當(dāng)前廣泛使用的語言模型對齊技術(shù)，仍然存在一定的局限性。

按照論文的觀點，這可能意味著模型從訓(xùn)練數(shù)據(jù)中學(xué)到的拒絕能力，過于依賴于特定的語法和詞匯模式，而沒有真正理解請求的內(nèi)在語義和意圖。

這些發(fā)現(xiàn)對于當(dāng)前的語言模型對齊技術(shù)提出了新的挑戰(zhàn)和思考方向 —— 僅僅依靠在訓(xùn)練數(shù)據(jù)中加入更多的拒絕例子，可能無法從根本上解決模型的安全問題。

作者又進(jìn)行了進(jìn)一步實驗，使用拒絕過去時間攻擊的示例對 GPT-3.5 進(jìn)行了微調(diào)。

結(jié)果發(fā)現(xiàn)，只要拒絕示例在微調(diào)數(shù)據(jù)中的占比達(dá)到 5%，攻擊的成功率增長就變成了 0。

下表中，A%/B% 表示微調(diào)數(shù)據(jù)集中有 A% 的拒絕示例和 B% 的正常對話，正常對話數(shù)據(jù)來自 OpenHermes-2.5。

這樣的結(jié)果也說明，如果能夠?qū)撛诘墓暨M(jìn)行準(zhǔn)確預(yù)判，并使用拒絕示例讓模型對齊，就能有效對攻擊做出防御，也就意味著在評估語言模型的安全性和對齊質(zhì)量時，需要設(shè)計更全面、更細(xì)致的方案。

論文地址：

• https://arxiv.org/abs/2407.11969

參考鏈接：

• [1]https://x.com/maksym_andr/status/1813608842699079750

• [2]https://x.com/MatthewBerman/status/1813719273338290328

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。