【论文精读】Towards Understanding Jailbreak Attacks in LLMs: A Representation Space Analysis

已于 2024-09-15 17:00:46 修改
阅读量969 收藏 12
点赞数 18
文章标签: 人工智能 论文阅读
于 2024-09-15 17:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Devilike/article/details/142283790
版权

论文:Towards Understanding Jailbreak Attacks in LLMs: A Representation Space Analysis

作者:Yuping Lin1, Pengfei He1, Han Xu1, Yue Xing1, Makoto Yamada2, Hui Liu1, Jiliang Tang1

发表:arxiv

代码:https://github.com/yuplin2333/representation-space-jailbreak

摘要

大型语言模型(LLM)容易受到一种被称为 "越狱 "的攻击,这种攻击会误导 LLM 输出有害内容。虽然越狱攻击策略多种多样,但对于为什么有些方法会成功,有些方法会失败,还没有统一的认识。本文探讨了有害和无害提示在 LLM 表示空间中的行为,以研究成功越狱攻击的内在属性。我们假设,成功的攻击具有一些相似的特性:它们能有效地将有害提示的表征向无害提示的方向移动。我们利用现有越狱攻击目标中的隐藏表征,使攻击沿着接受的方向移动,并利用提出的目标进行实验来验证上述假设。我们希望这项研究能为理解 LLM 如何理解有害信息提供新的见解。

方法

问题一:表征空间是什么?如何定义或者学习得来的?为什么能用来表示提示词

这个表征空间就是嵌入向量的维度,即提示词长度n乘以词汇表大小m,得到d纬的嵌入向量,再通过PCA主成分分析,对d纬向量降为到2纬空间

问题二:方向是什么?如何确定的。方向的改变意味着什么?

经过PCA降纬后的空间,观察几个数据,成功的越狱提示,失败的越狱提示,有害/无害的锚点提示,发现一个现象是越狱成功的提示中心从有害中心向无害中心移动,这个方向就是成功越狱提示引导的方向。方向改变意味着模型对该提示词的认知从有害转向无害。

观察对象:

1. 无害的锚点提示词

2. 有害的锚点提示词

3. 初始化的越狱提示词(包括成功的越狱攻击和失败的越狱攻击)

观察表征空间提示词发现:

1. 有害和无害的锚点提示词是分开的:作者观察到llama2-7b,llama2-13b,llama3-8b三个模型都能将有害和无害的提示词进行区分,但是未经过对齐的gemma-7b不能很好的区分有害/无害提示词,说明对齐的模型具备区分提示词有害/无害的能力

2.成功的越狱提示会将有害提示词引向无害提示词

从这一表格中可以观察到,大部分结论可以说明,成功越狱的提示词中心在向无害提示词中心移动,但是gemma-7b的一些结论不能说明这一观察,作者分析这是因为模型本身的对齐能力没有得到解释。

实验

作者提出将提示词从有害方向像无害方向转变可以增大提示的越狱成功率,所以提出下面的优化函数:

\underset{x}{max}L(x)=[g(h(x))-g(h(x_0))]^\top e_\alpha

但是该优化函数会使模型输出不符合主题的内容,所以作者提出一个优化策略:

首先通过字符串检测,对输出文本检测,如果现实越狱成功则继续生成,否则停止并重新生成,如果通过第一次检测,再利用微调的LLM进行检测,判断是否属于越狱内容。

附录

PCA降维,作者选取了模型最后一层的嵌入向量作为输入数据。

Devil Like
关注
论文精读CVPR_2023】Face Transformer: Towards High Fidelity and Accurate Face Swapping
zik的博客
01-08 1233
【Paper】【Code暂无】这项工作的贡献是三重的。首先\textit{首先}首先,我们设计了 Face-Transformer,这是一个创新网络,通过将 Transformer 引入到换脸任务中来实现精确的换脸。转换器学习源面部和目标面部之间的语义感知对应关系,这有助于从源面部到目标面部的特征顺利转移。据我们所知,这是第一个为换脸任务引入 Transformer 架构的工作。第二\textit{第二}第二。
Towards 3D Human Pose Estimation in the Wild: a Weakly-supervised Approach论文翻译
qq_38522972的博客
10-25 6328
论文地址:https://arxiv.org/abs/1704.02447 code:https://github.com/xingyizhou/pytorch-pose-hg-3d Towards 3D Human Pose Estimation in the Wild: a Weakly-supervised Approach Xingyi Zhou1,2, Qixing Huang2,...
LLMs之Agent:Personal_LLM_Agents_Survey的简介、使用方法之详细攻略
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
01-17 1796
LLMs之Agent:Personal_LLM_Agents_Survey的简介、使用方法之详细攻略 目录 Personal_LLM_Agents_Survey的简介 Personal_LLM_Agents_Survey的使用方法 Personal_LLM_Agents_Survey的简介 个人LLM代理(智能体)被定义为一种特殊类型的基于LLM的代理,它与个人数据、个人设备和个人服务深度集成。它们最好部署到资源受限的移动/边缘设备和
【双语新闻】 AI 安全新闻 :计算规模的下一代,按越狱敏感性和机器道德对模型进行排名
qq_29883477的博客
09-12 1164
人工智能可以最大化选项的可取性和其相应理论的可能性的乘积,但是,虽然这种方法更加平衡,按确信度排列各种理论在本质上是主观的。人工智能中的偏见是危险的,因为它可能产生反馈循环:基于有缺陷数据训练的人工智能系统可能做出有偏见的决策,然后将其馈送到未来模型中。根据CHIPS和Science法案,英特尔的晶圆厂业务应该会获得大约85亿美元的资金,但它已经花费数十亿美元进行资格认证,在第二季度,它报告了28亿美元的亏损。这些在OpenAI和xAI的发展并不令人意外,而是代表了更广泛的趋势,即不断增长的计算规模。
Towards Robust Crowdsourcing-Based Localization: A Fingerprinting Accuracy Indicator Enhanced Wireless/Magnetic/Inertial Integration Approach
02-11
The next-generation internet of things (IoT) systems have an increasingly demand on intelligent localization which can scale with big data without human perception. Thus, traditional localization ...
TextFlow Towards Better Understanding of Evolving Topics in Text
12-24
理解主题在文本数据中的演变是一项重要且具有挑战性的任务。虽然很多工作都致力于话题分析,但是话题演变的研究主要局限于单个话题。在本文中,我们介绍了TextFlow,它是可视化和主题挖掘技术的无缝集成,用于分析多...
论文笔记】Towards Privacy-Preserving Affect Recognition: A Two-Level Deep Learning Architecture
weixin_51547366的博客
12-20 2486
摘要 使用图像和计算机视觉自动理解和识别人类情感状态可以改善人机交互和人机交互。然而,隐私已成为一个备受关注的问题,因为在此过程中可能会暴露用于训练情感模型的人的身份。例如,恶意个人可以利用用户的图像并假设他们的身份。此外,使用图像进行情感识别会导致歧视和算法偏差,因为可以根据面部特征假设某些信息,例如种族、性别和年龄。保护用户隐私和避免滥用其身份的可能解决方案是:(1)从图像数据库中提取匿名面部特征,即动作单元(AU),丢弃图像并使用 AU 进行处理和训练,以及( 2)联邦学习(FL),...
人工智能学习之PaddleOCR快速上手】
Jiagym的博客
10-12 1409
在配置文件中,可以设置组建模型、优化器、损失函数、模型前后处理的参数,PaddleOCR从配置文件中读取到这些参数,进而组建出完整的训练流程,完成模型训练,在需要对模型进行优化的时,可以通过修改配置文件中的参数完成配置,使用简单且方便修改。而 L2 正则化中,添加正则化项的目的在于减少参数平方的总和。准确检测的标准是检测框与标注框的IOU大于某个阈值,正确识别的检测框中的文本与标注的文本相同。如果缺少带标注的数据,或者不想投入研发成本,建议直接调用开放的API,开放的API覆盖了目前比较常见的一些垂类。
DINO&DINO v2:颠覆自监督视觉特征表示学习
家鸽的代码屋
10-15 964
DINO系列学习总结
R2:RNN-心脏病预测
u012249506的博客
10-11 947
左图:训练与验证准确率训练集的准确率(蓝色线):随着训练次数增加,呈现出平稳上升趋势,最终接近0.92左右,说明模型在训练数据上的拟合效果逐渐变好。验证集的准确率(橙色线):一开始随着训练迭代次数增加,验证准确率也在提升,但在约20次迭代后,准确率趋于平稳,甚至有一些波动,特别在50次之后,表现出明显的下降和上升不稳定现象。右图:训练与验证损失训练集损失(蓝色线):损失随着迭代次数逐渐下降,这表明模型在训练集上不断优化,误差减少。
新质技术之生成式AI、大模型、多模态技术开发与应用研修班
Lynn121的博客
10-17 356
在当前的科技飞速发展的时代,生成式人工智能、大模型、多模态技术的出现正为企业的数字化转型带来革命性变革。该研修班特别设计了为期四天的课程,从生成式AI的核心概念入手,逐步深入探讨大模型的应用开发以及多模态技术的集成运用。通过此次研修班,学员不仅能获得最新的AI技术知识,还能获得行业权威机构的职业技能认证,这将极大提升其在未来职场中的竞争力。本次研修班采取理论与实战相结合的培训模式,旨在让学员不仅能够全面掌握生成式AI、大模型和多模态技术的最新理论,还能通过实战练习,掌握将这些技术应用于实际业务。
论文及其创新点学习cvpr2022 On the Integration of Self-Attention and Convolution
qq_53536373的博客
10-13 529
论文创新点,将注意力机制 和卷积 相结合。
计算机毕业设计Python深度学习房价预测 房源可视化 房源爬虫 二手房可视化 二手房爬虫 递归决策树模型 机器学习 深度学习 大数据毕业设计
全网粉丝100W+、全栈领域优质创作者、B站、github、CSDN等社区技术专家、专注于高端精品毕业项目源码实战
10-18 371
计算机毕业设计Python深度学习房价预测 房源可视化 房源爬虫 二手房可视化 二手房爬虫 递归决策树模型 机器学习 深度学习 大数据毕业设计
最近AI产品开发的热点在什么领域?
最新发布
m0_46568584的博客
10-18 706
更贴合人类的思考方式:去年,不管是ChatGPT还是通义千问、KIMI等,经常会遇到问着问着他就“傻”了,开始答非所问,就我个人使用而言,从今年下半年开始,模型越来越聪明,他会给我提供一些新奇的想法,而且还会先我一步思考。AI产品开发中,搜索领域已成为炙手可热的焦点,背后的原因还是很值得说一说的。《黑神话:悟空》不仅在短短3天内销量突破1000万套,成为有史以来最快达到这一销售里程碑的单机游戏之一,更重要的是,它展现了AI技术在游戏领域带来的巨大潜力,包括AI驱动的NPC、AI生成的场景、AI辅助开发等。
使用OpenCV实现光流追踪
2401_84670644的博客
10-14 828
光流追踪是计算机视觉中一项重要的技术,它能够帮助我们理解图像中像素的运动。通过OpenCV库,我们可以方便地实现Lucas-Kanade光流追踪,并对视频中的特征点进行跟踪和可视化。希望本文和示例代码能够帮助你更好地理解光流追踪,并在实际项目中应用这一技术。
骨架提取(持续更新)
xiongmaowangd的博客
10-13 643
骨架提取是图像处理或计算机视觉中的一种技术,用于从二值化图像中提取物体的中心线或轮廓,通常称为“骨架”或“细化图像”。这一技术主要用于简化形状表示,同时保留物体的拓扑结构。这里我们强调了,是对二值化图像中进行提取。
2024人工智能现状:未来已至,你准备好了吗?
weixin_41496173的博客
10-12 1108
在科技飞速发展的今天,人工智能(AI)已经不再只是科幻小说中的概念。随着各大科技公司和研究机构在AI领域的投入加大,AI技术正在逐步渗透到我们生活的方方面面。2024年,AI不仅在科研上取得了巨大突破,在产业应用、政策法规、安全等方面也有了显著的进展。本文将带您深入探讨[《2024人工智能现状报告》(**State of AI Report 2024**)](https://www.stateof.ai/)中的关键内容,帮助您了解AI的现状及其未来趋势。
通义灵码:AI 编码的强大助力
jiandanfeng2的专栏
10-14 843
通义灵码是阿里云推出的智能编码辅助工具,以通义大模型为基础,提供多种强大功能助力开发者高效编码。通义灵码集成了行级 / 函数级实时续写、自然语言生成代码、单元测试生成、代码注释生成、代码解释、研发智能问答、异常报错排查等能力。例如,在编码过程中,根据当前语法和跨文件的代码上下文,实时生成行、函数建议代码,极大地提升了编码的连续性和流畅性。通过自然语言描述功能需求,可直接在编辑器区生成代码,让编码过程更加直观便捷。
论文阅读(十六):Deep Residual Learning for Image Recognition
悟兰因的博客
10-16 1084
在ResNet网络提出之前,传统的卷积神经网络都是通过将一系列卷积层与下采样层进行堆叠得到的。梯度消失/梯度爆炸。退化问题。1.梯度消失/梯度爆炸:可通过数据预处理及在网络中使用BatchNormalizationBatch\;BatchNormalization来解决。2.退化问题(随着网络层数的加深,效果会变差,如上图所示):本文提出了残差结构(ResidualBlockResidual\;
towards out of distribution generalization: a survey
10-06
针对过分分布的普遍化:一项调查 "towards out of distribution generalization: a survey"是一项对过分分布普遍化现象的研究。该研究关注如何处理机器学习中的模型在训练过程中未曾遇到的情况下的泛化能力。 当前,机器学习中的模型往往在面对与训练数据不同的情况时出现问题。这些情况被称为"分布外"或"过分分布"。过分分布问题在现实世界的应用中非常普遍,例如在医学影像诊断中,模型在对未见过的病例进行预测时可能出现错误。 为了改善过分分布问题,该调查着重研究了几种处理方法。首先,一种方法是使用生成对抗网络(GAN)。GAN可以通过学习未见过的数据分布来生成合成样本,从而提高模型的泛化性能。其次,该调查还介绍了自监督学习和深度对比学习等技术。这些方法通过引入自动生成标签或学习新的特征表示来增强模型的泛化能力。 此外,该调查提到了一些用于评估模型在过分分布上泛化能力的评估指标。例如,置信度和不确定性度量可以帮助评估模型对于不同类别或未知样本的预测是否可信。同时,模型的置换不变性和鲁棒性也是评估模型泛化能力的重要因素。 总结来说,这项调查对于解决过分分布普遍化问题提供了一些有益的方法和指导。通过使用生成对抗网络、自监督学习和深度对比学习技术,以及评估模型的不确定性和鲁棒性,我们可以提高模型在未曾遇到的情况下的泛化能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值