Nutzung innovativer GPT-4-APIs
Exploiting Novel GPT-4 APIs
December 21, 2023
Autoren: Kellin Pelrine, Mohammad Taufeeque, Michał Zając, Euan McLean, Adam Gleave
cs.AI
Zusammenfassung
Angriffe auf Sprachmodelle gehen typischerweise von einem von zwei extremen Bedrohungsmodellen aus: vollständiger White-Box-Zugriff auf die Modellgewichte oder Black-Box-Zugriff, der auf eine Textgenerierungs-API beschränkt ist. In der Praxis sind APIs jedoch oft flexibler als nur die Textgenerierung: Diese APIs bieten „Gray-Box“-Zugriff, was zu neuen Bedrohungsvektoren führt. Um dies zu untersuchen, haben wir drei neue Funktionen, die in den GPT-4-APIs verfügbar gemacht werden, einem Red-Teaming unterzogen: Feinabstimmung, Funktionsaufrufe und Wissensabruf. Wir stellen fest, dass die Feinabstimmung eines Modells mit nur 15 schädlichen oder 100 harmlosen Beispielen die zentralen Sicherheitsvorkehrungen von GPT-4 entfernen kann, was eine Reihe von schädlichen Ausgaben ermöglicht. Darüber hinaus stellen wir fest, dass GPT-4-Assistenten das Schema für Funktionsaufrufe bereitwillig preisgeben und dazu gebracht werden können, beliebige Funktionsaufrufe auszuführen. Schließlich zeigen wir, dass der Wissensabruf durch das Einfügen von Anweisungen in die abgerufenen Dokumente manipuliert werden kann. Diese Schwachstellen verdeutlichen, dass jede Erweiterung der durch eine API verfügbar gemachten Funktionalität neue Sicherheitslücken schaffen kann.
English
Language model attacks typically assume one of two extreme threat models:
full white-box access to model weights, or black-box access limited to a text
generation API. However, real-world APIs are often more flexible than just text
generation: these APIs expose ``gray-box'' access leading to new threat
vectors. To explore this, we red-team three new functionalities exposed in the
GPT-4 APIs: fine-tuning, function calling and knowledge retrieval. We find that
fine-tuning a model on as few as 15 harmful examples or 100 benign examples can
remove core safeguards from GPT-4, enabling a range of harmful outputs.
Furthermore, we find that GPT-4 Assistants readily divulge the function call
schema and can be made to execute arbitrary function calls. Finally, we find
that knowledge retrieval can be hijacked by injecting instructions into
retrieval documents. These vulnerabilities highlight that any additions to the
functionality exposed by an API can create new vulnerabilities.