Obligar a los LLMs a hacer y revelar (casi) cualquier cosa
Coercing LLMs to do and reveal (almost) anything
February 21, 2024
Autores: Jonas Geiping, Alex Stein, Manli Shu, Khalid Saifullah, Yuxin Wen, Tom Goldstein
cs.AI
Resumen
Recientemente se ha demostrado que los ataques adversarios sobre modelos de lenguaje de gran escala (LLMs) pueden "liberar" al modelo para que realice declaraciones dañinas. En este trabajo, argumentamos que el espectro de ataques adversarios sobre LLMs es mucho más amplio que simplemente la liberación. Proporcionamos una visión general de las posibles superficies de ataque y objetivos de ataque. Basándonos en una serie de ejemplos concretos, discutimos, categorizamos y sistematizamos ataques que fuerzan diversos comportamientos no deseados, como la desorientación, el control del modelo, la denegación de servicio o la extracción de datos. Analizamos estos ataques en experimentos controlados y encontramos que muchos de ellos surgen de la práctica de pre-entrenar LLMs con capacidades de codificación, así como de la persistencia de "tokens" extraños o "glitch" en los vocabularios comunes de los LLMs que deberían eliminarse por razones de seguridad.
English
It has recently been shown that adversarial attacks on large language models
(LLMs) can "jailbreak" the model into making harmful statements. In this work,
we argue that the spectrum of adversarial attacks on LLMs is much larger than
merely jailbreaking. We provide a broad overview of possible attack surfaces
and attack goals. Based on a series of concrete examples, we discuss,
categorize and systematize attacks that coerce varied unintended behaviors,
such as misdirection, model control, denial-of-service, or data extraction.
We analyze these attacks in controlled experiments, and find that many of
them stem from the practice of pre-training LLMs with coding capabilities, as
well as the continued existence of strange "glitch" tokens in common LLM
vocabularies that should be removed for security reasons.