Coagindo LLMs a fazer e revelar (quase) qualquer coisa
Coercing LLMs to do and reveal (almost) anything
February 21, 2024
Autores: Jonas Geiping, Alex Stein, Manli Shu, Khalid Saifullah, Yuxin Wen, Tom Goldstein
cs.AI
Resumo
Recentemente, foi demonstrado que ataques adversariais em modelos de linguagem de grande escala (LLMs) podem "desbloquear" o modelo, levando-o a fazer declarações prejudiciais. Neste trabalho, argumentamos que o espectro de ataques adversariais em LLMs é muito maior do que apenas o desbloqueio. Apresentamos uma visão ampla das possíveis superfícies de ataque e objetivos de ataque. Com base em uma série de exemplos concretos, discutimos, categorizamos e sistematizamos ataques que forçam comportamentos não intencionais variados, como desorientação, controle do modelo, negação de serviço ou extração de dados.
Analisamos esses ataques em experimentos controlados e descobrimos que muitos deles decorrem da prática de pré-treinar LLMs com capacidades de codificação, bem como da existência contínua de "tokens de falha" estranhos nos vocabulários comuns de LLMs, que deveriam ser removidos por razões de segurança.
English
It has recently been shown that adversarial attacks on large language models
(LLMs) can "jailbreak" the model into making harmful statements. In this work,
we argue that the spectrum of adversarial attacks on LLMs is much larger than
merely jailbreaking. We provide a broad overview of possible attack surfaces
and attack goals. Based on a series of concrete examples, we discuss,
categorize and systematize attacks that coerce varied unintended behaviors,
such as misdirection, model control, denial-of-service, or data extraction.
We analyze these attacks in controlled experiments, and find that many of
them stem from the practice of pre-training LLMs with coding capabilities, as
well as the continued existence of strange "glitch" tokens in common LLM
vocabularies that should be removed for security reasons.