ChatPaper.aiChatPaper

Простая до неприличия защита от атак на уничтожение языковых моделей

An Embarrassingly Simple Defense Against LLM Abliteration Attacks

May 25, 2025
Авторы: Harethah Abu Shairah, Hasan Abed Al Kader Hammoud, Bernard Ghanem, George Turkiyyah
cs.AI

Аннотация

Крупные языковые модели (LLM) обычно настраиваются на соблюдение правил безопасности, отказываясь выполнять вредоносные инструкции. Недавняя атака, названная "аблитерация", выделяет и подавляет единственное латентное направление, наиболее ответственное за поведение отказа, что позволяет модели генерировать неэтичный контент. Мы предлагаем защиту, которая изменяет способ, каким модели генерируют отказы. Мы создаем расширенный набор данных для отказов, содержащий вредоносные запросы с полным ответом, обосновывающим причину отказа. Затем мы дообучаем модели Llama-2-7B-Chat и Qwen2.5-Instruct (с 1,5 и 3 миллиардами параметров) на нашем расширенном наборе данных и оцениваем полученные системы на наборе вредоносных запросов. В наших экспериментах модели с расширенными отказами сохраняют высокие показатели отказов, снижаясь максимум на 10%, тогда как базовые модели снижают показатели отказов на 70-80% после аблитерации. Широкая оценка безопасности и полезности показывает, что дообучение с расширенными отказами нейтрализует атаку аблитерации, сохраняя при этом общую производительность.
English
Large language models (LLMs) are typically aligned to comply with safety guidelines by refusing harmful instructions. A recent attack, termed abliteration, isolates and suppresses the single latent direction most responsible for refusal behavior, enabling the model to generate unethical content. We propose a defense that modifies how models generate refusals. We construct an extended-refusal dataset that contains harmful prompts with a full response that justifies the reason for refusal. We then fine-tune Llama-2-7B-Chat and Qwen2.5-Instruct (1.5B and 3B parameters) on our extended-refusal dataset, and evaluate the resulting systems on a set of harmful prompts. In our experiments, extended-refusal models maintain high refusal rates, dropping at most by 10%, whereas baseline models' refusal rates drop by 70-80% after abliteration. A broad evaluation of safety and utility shows that extended-refusal fine-tuning neutralizes the abliteration attack while preserving general performance.

Summary

AI-Generated Summary

PDF42May 27, 2025