Простая до неприличия защита от атак на уничтожение языковых моделей
An Embarrassingly Simple Defense Against LLM Abliteration Attacks
May 25, 2025
Авторы: Harethah Abu Shairah, Hasan Abed Al Kader Hammoud, Bernard Ghanem, George Turkiyyah
cs.AI
Аннотация
Крупные языковые модели (LLM) обычно настраиваются на соблюдение правил безопасности, отказываясь выполнять вредоносные инструкции. Недавняя атака, названная "аблитерация", выделяет и подавляет единственное латентное направление, наиболее ответственное за поведение отказа, что позволяет модели генерировать неэтичный контент. Мы предлагаем защиту, которая изменяет способ, каким модели генерируют отказы. Мы создаем расширенный набор данных для отказов, содержащий вредоносные запросы с полным ответом, обосновывающим причину отказа. Затем мы дообучаем модели Llama-2-7B-Chat и Qwen2.5-Instruct (с 1,5 и 3 миллиардами параметров) на нашем расширенном наборе данных и оцениваем полученные системы на наборе вредоносных запросов. В наших экспериментах модели с расширенными отказами сохраняют высокие показатели отказов, снижаясь максимум на 10%, тогда как базовые модели снижают показатели отказов на 70-80% после аблитерации. Широкая оценка безопасности и полезности показывает, что дообучение с расширенными отказами нейтрализует атаку аблитерации, сохраняя при этом общую производительность.
English
Large language models (LLMs) are typically aligned to comply with safety
guidelines by refusing harmful instructions. A recent attack, termed
abliteration, isolates and suppresses the single latent direction most
responsible for refusal behavior, enabling the model to generate unethical
content. We propose a defense that modifies how models generate refusals. We
construct an extended-refusal dataset that contains harmful prompts with a full
response that justifies the reason for refusal. We then fine-tune
Llama-2-7B-Chat and Qwen2.5-Instruct (1.5B and 3B parameters) on our
extended-refusal dataset, and evaluate the resulting systems on a set of
harmful prompts. In our experiments, extended-refusal models maintain high
refusal rates, dropping at most by 10%, whereas baseline models' refusal rates
drop by 70-80% after abliteration. A broad evaluation of safety and utility
shows that extended-refusal fine-tuning neutralizes the abliteration attack
while preserving general performance.Summary
AI-Generated Summary