【论文阅读】Protecting Your LLMs with Information Bottleneck

最新推荐文章于 2024-09-11 23:03:17 发布
最新推荐文章于 2024-09-11 23:03:17 发布
阅读量419 收藏 6
点赞数 3
文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Devilike/article/details/141825677
版权

论文:Protecting Your LLMs with Information Bottleneck

作者:Zichuan Liu1,2∗, Zefan Wang3∗, Linjie Xu2,4, Jinyu Wang2, Lei Song2†, Tianchun Wang5, Chunlin Chen1, Wei Cheng6, Jiang Bian2

发表:arxiv

摘要

大型语言模型(LLM)的出现彻底改变了自然语言处理领域,但它们可能会受到攻击,产生有害内容。尽管努力使LLM在道德上保持一致,但这些LLM往往很脆弱,可以通过优化或手动对抗提示进行越狱攻击来规避。为了解决这个问题,我们引入了信息瓶颈保护器(IBProtector),这是一种基于信息瓶颈原理的防御机制,我们修改了目标以避免琐碎的解决方案。IBProtector在轻量级和可训练的提取器的帮助下,选择性地压缩和扰动提示,只保留目标LLM用预期答案做出响应的基本信息。此外,我们进一步考虑了梯度不可见的情况与任何LLM兼容。我们的实证评估表明,IBProtector在减轻越狱企图方面优于当前的防御方法,而不会过度影响响应质量或推理速度。它在各种攻击方法和目标LLM中的有效性和适应性突显了IBProtector作为一种新型、可转移的防御的潜力,它可以在不需要修改底层模型的情况下增强LLM的安全性

方法

什么是信息瓶颈原理?

在信息瓶颈理论中,主要目标是在信息的保真度(保持信息的有效性)和信息的简明性(减少冗余信息)之间找到一个最优的平衡点。具体来说,就是如何有效地从原始数据中提取出对某个特定任务最有用的信息,同时丢弃不相关的细节。这可以通过构建一个中间表示(或称“瓶颈”)来实现,这个中间表示既要能很好地预测任务目标,又要尽可能简单。

在形式上,信息瓶颈问题通常被表述为一个优化问题,其中需要最小化两个相互竞争的目标函数:一个是保留关于目标变量Y的信息(通常用互信息I(X;Y)度量),另一个是压缩输入变量X的信息(用互信息I(X;T)度量),T是所谓的瓶颈变量或者简化表示。这两个目标通常通过一个标量参数λ进行权衡,λ决定了压缩和保留信息的重要性比例。

上图解释了IBProtecter对输入提示词的处理结果,这是一种IB在大模型中的实现

作者是如何将信息瓶颈IB与大模型对齐融合在一起的?

X_{sub}^{*}:=argmin\ \alpha I(X;X_{sub})-I(Y;X_{sub})

给定输入提示,提取器可以提取信息最丰富的部分供预测器响应。

I(X;X_{sub})\leq E_X[D_{KL}[\mathbb{P}_{\theta}(X_{sub}|X])||\mathbb{Q}(X_{sub})]]

L_{M}=\sum ^{T}_{t=1}[\pi_tlog(\frac{\pi_t}{r})+(1-\pi_t)log(\frac{1-\pi_t}{1-r})]

L_{con}=\frac{1}{T}\cdot \sum ^{T-1}_{t=1}\sqrt{(\pi_{t+1}-\pi_t)^2}

L_{info}=-\sum^{|Y|}_{t=1}log p(Y_t|\widetilde{X},Y_{<t}])+\sum^{|Y|}_{t=1}D_{KL}[f_{tar}(\widetilde{X},Y_{<t})||f_{tar}(X,Y_{<t})]

L=L_{info}+\alpha (L_M+\lambda L_{con})

Devil Like
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
论文导读:fast21 Learning Cache Replacement with Cacheus
渡江客涂鸦板
11-12 1612
CACHEUS建立在LeCaR的成功之上。它在几个方面对LeCaR进行了改进。首先,虽然LeCaR主张使用经典的LRU和LFU,CACHEUS证明了使用更复杂的专家的重要性。其次,CACHEUS通过识别和消除其机器学习机制的冗余方面简化了LeCaR。第三,它创建了一个完全自适应的版本,也是轻量级的。最后,新的轻量级专家SR-LRU和CR-LFU改进了LeCaR的专家,以解决扫描和搅动这两个新的工作负载原语类型。通过这些改进,CACHEUS的表现优于LeCaR以及其他最先进的算法。
论文阅读】PRADA: Protecting Against DNN Model Stealing Attacks(2019)
Glass_Gun的博客
08-21 901
Alternative(备选) model stealing attacks(模型窃取攻击) assume(假设) access to large sets of natural samples(可以访问大量自然样本) and use active learning strategies(主动学习策略) to select the best samples(选择最佳的样本) to query [37].
通过信息瓶颈预防大语言模型越狱:Protecting Your LLMs with Information Bottleneck
weixin_44212874的博客
04-23 1071
在这项工作中,作者介绍IBProtector,这是一个基于信息瓶颈原理的防御机制。IBProtector通过一个轻量级且可训练的提取器,选择性地压缩和扰动提示,只保留目标LLMs回应预期答案所需的提示文本中核心信息。
论文阅读Protecting Intellectual Property of Deep Neural Networks with Watermarking
小西瓜的博客
11-13 631
论文阅读Protecting Intellectual Property of Deep Neural Networks with Watermarking
Hadoop Security Protecting Your Big Data Platform
08-18
Hadoop Security Protecting Your Big Data Platform By Ben Spivey, Joey Echeverria Publisher: O'Reilly Media Final Release Date: June 2015 Pages: 340
Protecting User Privacy Based on Secret Sharing with Fault Tolerance for Big Data in Smart Grid
02-22
这篇论文提出了一个基于秘密共享机制的数据聚合方案,并且该方案具有容错能力。以下是详细的说明: 1. 智能电网概念:智能电网是下一代电力网络,它能够根据电力设备或家用电器的实时需求来生成电力。智能电网通过...
论文笔记】AutoLFADS (Nature Methods, 2022)
Jurio的博客
09-11 1173
通过深度神经群体动力学模型实现最先进的性能需要对每个数据集进行广泛的超参数调整。 **AutoLFADS 是一个模型调整框架,可以根据来自各种大脑区域和任务的数据自动生成高性能的自动编码模型,而无需行为或任务信息**。作者在几个恒河猴数据集上证明了其广泛的适用性。
论文阅读笔记《面向集群协同的两点相对定位技术》
MATLAB卡尔曼的博客
09-06 841
无人机精确定位的三个难题:GNSS难以提供稳定准确的位置信息、难以部署辅助锚点、传统的相对定位方法大多存在节点数量限制。本文针对上述问题,提出了一种GNSS 拒止条件下的集群节点相对定位的新方法:搭载IMU和UWB的两个节点,EKF融合IMU和机间的距离信息。仿真:在相距200m的范围内,相对精度达到1.3m,比现有多节点相对定位算法提高了4倍【↓75?
Weakly-Supervised Video Moment Retrieval via Semantic Completion Network 论文阅读
weixin_44609958的博客
09-11 913
视频片段检索旨在根据给定的自然语言查询搜索与之最相关的片段。现有方法大多在全监督设置下进行训练,这需要为每个查询手动标注其对应的时间边界。然而,手动标注这些时间边界实际上既费时又昂贵。在本文中,我们提出了一种新颖的弱监督片段检索框架,仅需要粗略的、视频级别的标注用于训练。具体而言,我们设计了一个提案生成模块,该模块聚合上下文信息,一次性生成并评分所有候选提案。然后,我们设计了一种结合利用与探索的算法,选择前K个提案。
ACL 2024:交叉领域情感分析——论文阅读笔记
weixin_62472350的博客
09-11 761
阅读了一篇ABSA的论文,在这里写下自己的一些理解小笔记,可能有点小乱,原文在这下面: 论文链接:Refining and Synthesis: A Simple yet Effective Data Augmentation Framework for Cross-Domain Aspect-based Sentiment Analysis - ACL Anthology 中文文章链接:论文速递丨ACL 2024:交叉领域情感分析 (qq.com) 大多数ABS
[论文笔记]QLoRA: Efficient Finetuning of Quantized LLMs
日积月累,天道酬勤
09-07 1894
⭐ 作者提出了QLoRA,一种高效的微调方法,它在减少内存使用的同时保持16位微调任务的完整性能。这是通过:4位NormalFloat、双重量化(对量化常数进行量化)、分页优化器(GPU内存不足的情况下,自动进行CPU和GPU之间的页面传输)来管理内存峰值实现的。微调时冻结**4位量化预训练语言模型**而向低秩适配器(LoRA)反向传播梯度。
Moco论文阅读笔记
bliblisukabulie的博客
09-09 859
把对比学习砍成一个字典查询的任务。动态字典两部分组成,一个是队列,一个是移动平均的编码器,让字典里特征尽可能一致。Moco学到的特征能够很好迁移到下游任务。(最大的卖点)
论文阅读翻译之Deep reinforcement learning from human preferences
shizidushu的博客
09-11 1140
对于复杂的强化学习(RL)系统来说,要与现实世界环境有效互动,我们需要向这些系统传达复杂目标。在这项工作中,我们探索了以(非专家)人类对轨迹段对的偏好来定义目标。我们展示了这种方法可以在没有奖励函数的情况下有效解决复杂的RL任务,包括Atari游戏和模拟机器人运动,同时仅需对不到1%的代理与环境交互提供反馈。这大大降低了人类监督的成本,使其能够实际应用于最先进的强化学习系统。为了展示我们方法的灵活性,我们表明可以在大约一小时的人类参与时间内成功训练出复杂的新行为。
GPT-4论文阅读
最新发布
weixin_52185313的博客
09-11 737
本篇虽然是GPT-4的技术报告,但其中没有提到GPT-4的具体模型架构与训练过程,主要就是讲他的结果。GPT-4是一个多模态的模型,能够接受文本或者是图片的输入,最后输出纯文本GPT-4基本能够达到类人的表现,在事实性、可控性和安全性上有了很大的进步GPT-4在真实世界中与人还是存在差距,但是在很多具有专业性或者学术性的数据集或者任务上面上,GPT-4有时候能够达到甚至超过人类的水平。
VIT论文阅读
bliblisukabulie的博客
09-09 886
卷积神经网络不是必备的,一个纯transformer表现也是非常好的2500天tpu v3大规模上预训练,小规模任务数据集上微调。扩大模型时候还没观察到瓶颈(还没出现过拟合)?轴注意力机制:把2d的图片注意力分成从H和从W出发两个1d的注意力机制将224x224的图片根据16x16的patch划分成为14x14,使用特征图展开成1d来进行attention操作在不加强约束的情况下,transformer效果是比Resnet差的,因为少了归纳偏置1是本地偏置,相近的特征会相邻;
ISAC: Toward Dual-Functional Wireless Networks for 6G and Beyond【论文阅读笔记】
aixdm的博客
09-08 2586
对集成传感与通信( ISAC )的背景、关键应用范围和最先进的方法进行了全面的综述。首先从历史角度讨论了传感与通信(S&C)之间的相互作用,然后探讨了 ISAC 的多个方面以及由此带来的性能提升。通过介绍当前和潜在的使用案例,我们阐明了与 ISAC 相关的行业进展和标准化活动。我们分析了 S&C 之间的一系列性能权衡,包括信息理论限制、物理层性能权衡和跨层设计权衡。接下来,我们讨论 ISAC 的信号处理方面,即ISAC 波形设计和接收信号处理。
[论文笔记]Making Large Language Models A Better Foundation For Dense Retrieval
日积月累,天道酬勤
09-06 1685
⭐ 本工作提出了LLaRA,该方法作为对 LLM 进行后处理适应以用于密集检索应用。LLaRA 包含两个前置任务: LLM 的文本嵌入分别用于重构输入句子的词元和预测下一个句子的词元。通过这种方式旨在捕捉输入文本本身和下一句的全局语义,从而使LLM变成一个有效的密集检索器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值