Принуждение языковых моделей к выполнению и раскрытию (почти) чего угодно
Coercing LLMs to do and reveal (almost) anything
February 21, 2024
Авторы: Jonas Geiping, Alex Stein, Manli Shu, Khalid Saifullah, Yuxin Wen, Tom Goldstein
cs.AI
Аннотация
Недавние исследования показали, что атаки на большие языковые модели (LLM) могут "взломать" модель, заставив её генерировать вредоносные высказывания. В данной работе мы утверждаем, что спектр атак на LLM гораздо шире, чем просто взлом. Мы предоставляем обширный обзор возможных поверхностей атак и их целей. На основе ряда конкретных примеров мы обсуждаем, классифицируем и систематизируем атаки, которые вызывают различные нежелательные поведения, такие как введение в заблуждение, управление моделью, отказ в обслуживании или извлечение данных.
Мы анализируем эти атаки в контролируемых экспериментах и обнаруживаем, что многие из них связаны с практикой предварительного обучения LLM с возможностями программирования, а также с продолжающимся существованием странных "глюк"-токенов в стандартных словарях LLM, которые следует удалить по соображениям безопасности.
English
It has recently been shown that adversarial attacks on large language models
(LLMs) can "jailbreak" the model into making harmful statements. In this work,
we argue that the spectrum of adversarial attacks on LLMs is much larger than
merely jailbreaking. We provide a broad overview of possible attack surfaces
and attack goals. Based on a series of concrete examples, we discuss,
categorize and systematize attacks that coerce varied unintended behaviors,
such as misdirection, model control, denial-of-service, or data extraction.
We analyze these attacks in controlled experiments, and find that many of
them stem from the practice of pre-training LLMs with coding capabilities, as
well as the continued existence of strange "glitch" tokens in common LLM
vocabularies that should be removed for security reasons.