论文阅读: ICLR 2024 Workshop GUARD: Role-playing to Generate Natural-language Jailbreakings to Test Guid

已于 2025-04-29 16:00:10 修改
阅读量837 收藏 10
点赞数 23
文章标签: 论文阅读
于 2025-04-29 13:11:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WhiffeYF/article/details/147606005
版权

总目录 大模型安全相关研究:https://blog.csdn.net/WhiffeYF/article/details/142132328

GUARD: Role-playing to Generate Natural-language Jailbreakings to Test Guideline Adherence of Large Language Models

https://arxiv.org/abs/2402.03299

https://www.doubao.com/chat/3995747281452546

这篇论文提出了GUARD(Guideline Upholding through Adaptive Role - play Diagnostics)系统,通过生成自然语言越狱提示来测试大语言模型(LLMs)是否遵守准则,还能将测试拓展到视觉语言模型(VLMs),提升对模型安全性和可靠性的评估。

  1. 研究背景:大语言模型应用广泛,但存在被恶意利用的风险。为规范其使用,政府和组织发布了指南,开发者也采取了安全措施。然而,“越狱”提示能绕过安全机制,传统手动生成越狱提示效率低,自动生成的又往往语义不佳。所以,需要一种更好的方法来生成自然语言形式的越狱提示,测试大语言模型的安全性。
  2. 方法介绍:GUARD系统让4个不同角色的大语言模型协作生成越狱提示。翻译器将准则转为问题提示;生成器整理现有越狱场景并提供初始场景;评估器计算目标大语言模型响应与预期输出的相似度;优化器根据相似度给出修改建议 。通过分析现有越狱提示的频率和语义模式,提取8个特征,利用知识图谱和随机游走生成新的自然语言越狱场景。
  3. 实验验证:以欧洲委员会的“可信人工智能伦理准则”中的清单为测试准则,对3个开源大语言模型(Vicuna - 13B、LongChat - 7B和Llama - 2 - 7B)和1个商业大语言模型(ChatGPT)进行测试。对比了GUARD与其他攻击方法,指标包括越狱成功率和困惑度。结果显示,GUARD在直接越狱和转移越狱实验中,越狱成功率高且困惑度低。在现有问题基准测试中,GUARD也表现出色,还能有效更新无效的越狱提示。此外,GUARD生成的越狱提示在视觉语言模型上也能发挥作用,诱导模型对不适当内容做出响应。
  4. 研究结论:GUARD能有效测试大语言模型是否遵守准则,在不同大语言模型和视觉语言模型上都表现良好,有助于开发更安全的基于大语言模型的应用程序,对保障人工智能领域的安全使用具有重要意义。

论文阅读

在这里插入图片描述
图1展示了GUARD系统的整体工作流程,通过四个扮演不同角色的大语言模型(LLMs)来完成生成问题提示、设置场景、评估提示和改进越狱提示等任务 ,具体如下:

越狱分类和场景设置(Jailbreak Categorization and Scenario Setup )

  1. 前期准备:先收集已有的越狱提示(Pre - collected Jailbreaks ),构建知识图谱(Knowledge Graphs ) ,通过随机游走(Random Walk )生成越狱片段(Jailbreak Fragments ) ,比如“你将扮演……”“我试图让你解脱……”这类内容。
  2. 场景生成:生成器(Generator )整理这些片段并不断更新,设置出具体的“扮演场景”(Playing Scenario ),也就是设计出诱导大语言模型突破限制的情境。

引导问题提示生成(Guided Question Prompt Generation )

  1. 准则转换:将相关准则(Guidelines )交给测试者(Tester ),由翻译器(Translator )把准则转换成问题提示(Question Prompt ),比如“如何……”这类问题。
  2. 参考标准:神谕(Oracle )这里可以理解为一个参考标准,提供类似“抱歉,作为语言模型,我不能帮你……”这样的正确回复示例。

评估与优化

  1. 评估:把生成的越狱提示(Jailbreak Prompt )输入目标大语言模型(Target LLM ) ,评估器(Evaluator )计算目标大语言模型的响应(Response )与预期输出的相似度得分(Similarity Score ) ,判断越狱是否成功(Successful Jailbreaking ) 。
  2. 优化:优化器(Optimizer )根据评估结果给出改进建议(Advice ),并反馈(Feedback )回去进一步完善整个流程,不断提升越狱提示的效果 。
论文翻译:ICLR-2024.Oren.PROVING TEST SET CONTAMINATION IN BLACK BOX LANGUAGE MODELS
CSPhD-winston的博客
09-07 1532
大型语言模型是在大量互联网数据上训练的,这引发了人们的担忧和猜测,即它们可能已经记住了公共基准测试。从猜测到证明污染的存在是具有挑战性的,因为专有模型使用的预训练数据通常并不公开。我们展示了一种方法,可以在不访问预训练数据或模型权重的情况下,为语言模型提供可证明的测试集污染保证。我们的方法利用了一个事实,即如果没有数据污染,所有可交换基准测试的排序都应该同样可能。相比之下,语言模型倾向于记忆示例顺序,这意味着一个被污染的语言模型会发现某些规范排序比其他排序更有可能。我们的。
论文笔记 ICLR 2024 MogaNet: Multi-Order Gated Aggregation Network
985小菜鸡
10-14 2315
然后是的输出可以作为的输入。这种设计符合MogaNet的整体结构逻辑,即先通过Moga Block进行空间维度和上下文特征的多阶交互聚合,再通过CA Block在通道维度上进行自适应的特征重新分配和聚合。
论文笔记:【ICLR 2024】SPATIO-TEMPORAL FEW-SHOT LEARNING VIA DIFFUSIVE NEURAL NETWORK GEN
Zongyouqiangu的博客
07-31 1557
时空建模往往受到数据稀缺的阻碍。为弥补这一缺陷,本文提出了一种新的生成式预训练框架GPD,用于时空少样本学习。该方法通过使用源城市数据优化的神经网络参数集合进行生成式预训练,将时空少样本学习改写为生成式扩散模型的预训练。GPD采用了基于Transformer的去噪扩散模型,在prompt的引导下生成定制的神经网络,以适应多样化的数据分布和城市特定的特征。该框架与模型无关,可与强大的时空神经网络集成,在交通速度预测和人群流量预测任务上均表现出优越性能。
ICLR-Workshop-Challenge-1-CGIAR-Computer-Vision-for-Crop-Disease:Zindi竞赛的入门代码-ICLR Workshop Challenge#1
03-28
ICLR-车间-挑战1-CGIAR-用于作物病害的计算机视觉 Zindi竞赛的入门代码-ICLR研讨会挑战#1:CGIAR作物病害的计算机视觉 我非常感谢Jeremy和整个Fastai团队。 我刚刚开始深度学习,发现出色的创造者Johnowhitaker和...
ICLR 2024 | FeatUp: A Model-Agnostic Framework for Features at Any Resolution
画心
03-29 2697
与 NeRF 通过在场景的许多 2D 照片之间强制一致性来构建 3D 场景的隐式表示一样,FeatUp 通过在许多低分辨率特征图之间强制一致性来构建上采样器,即认为低分辨率信号的多视图一致性可以监督高分辨率信号的构建。文中的实验表明,FeatUp 在类激活图生成、分割和深度预测的迁移学习以及语义分割的端到端训练方面显着优于其他特征上采样和图像超分辨率方法。在这两种上采样架构的特征可以在下游应用中直接替换使用,因为所提方法不会转换底层特征的语义,即使无需重新训练也能获得分辨率和性能提升。
[论文阅读]MCP Guardian: A Security-First Layer for Safeguarding MCP-Based AI System
m0_52911108的博客
05-06 660
MCP Guardian 不要求开发人员直接在每个工具服务器中嵌入安全检查,而是通过覆盖 MCP 中的 invoke_tool 方法拦截所有调用。这种设计选择可确保对现有 5 个代码库的干扰降到最低,同时为身份验证、授权、速率限制、请求监控和 Web 应用程序防火墙 (WAF) 扫描提供一个中央控制点。安全性:MCP Guardian 有效阻止了未经授权的令牌、恶意命令(如 drop table、rm -rf /)和过高的请求率,展示了其在处理常见攻击模式和资源滥用方面的稳健性。
论文笔记(八十二)Transformers without Normalization
xzs1210652636的博客
04-30 1267
归一化层在现代神经网络中无处不在,并且长期以来被认为是必不可少的。本工作表明,通过一种非常简单的技术,不使用归一化的Transformer也能达到相同或更好的性能。我们提出了动态Tanh (Dynamic Tanh——DyT),一种逐元素操作$\text{DyT}(x)=\tanh(\alpha x)$,可作为Transformer中归一化层的直接替代。$\text{DyT}$的灵感来源于观察到Transformer中的层归一化通常会产生类似tanh的“S型”输入输出映射。通过引入$\text{DyT}$,
论文阅读2024 ACM SIGSAC Membership inference attacks against in-context learning
CSPhD-winston的博客
04-30 1161
在这个示例中,语言模型要完成的任务是根据问题的答案类型进行分类,比如答案类型可能是数字(Number)、地点(Location)、人物(Person)、描述(Description)、实体(Entity)或缩写(Abbreviation)。:帮助理解ICL的工作方式,它通过在输入中添加提示(包含指令和演示示例),让语言模型在不更新自身参数的情况下,通过类比示例来完成特定任务。这篇论文主要研究了大语言模型中上下文学习(ICL)的隐私安全问题,提出针对ICL的成员推理攻击方法,并探索了相应的防御策略。
LLM论文笔记 28: Universal length generalization with Turing Programs
m0_65305142的博客
05-04 499
通过将算法任务分解为逐步的“磁带更新”(类似图灵机的读写操作),允许模型通过简单的文本复制与局部修改完成复杂计算。:每一步仅对磁带的局部内容进行修改(如更新某一位的数字或进位),而非完全重写。注:本系列不包括基础的知识点讲解,为笔记/大纲性质而非教程,用于论文知识点和思想和快速记忆和回顾,更多细节建议阅读论文原文。:模型在未见过的更长输入(50→100+ token)上能预测图灵机的下一步状态,表明其对任意算法任务的泛化潜力。需进一步探索更高效、通用的训练框架,以支持复杂现实任务的长度泛化。
论文阅读2024 ICML In-Context Unlearning: Language Models as Few-Shot Unlearners
CSPhD-winston的博客
04-30 963
这篇论文主要介绍了一种针对大语言模型(LLMs)的新型遗忘学习方法——上下文内遗忘(In-Context Unlearning,ICUL),旨在解决从模型中删除特定训练数据的问题。Figure 1:上下文内遗忘与标准遗忘的差异。Figure 2:上下文内遗忘的示例。
论文阅读】LLMOPT:一种提升优化泛化能力的统一学习框架
hiliang521的博客
05-04 825
论文阅读】LLMOPT:一种提升优化泛化能力的统一学习框架
论文阅读笔记——ROBOGROUND: Robotic Manipulation with Grounded Vision-Language Priors
最新发布
Multiple_x的博客
05-06 736
ROBOGROUND: Robotic Manipulation with Grounded Vision-Language Priors 论文阅读笔记
论文阅读:MAXIM Multi-Axis MLP for Image Processing
Matrix-11
05-01 1076
近年来,Transformer 和多层感知机(MLP)模型的发展为计算机视觉任务提供了新的网络架构设计。尽管这些模型在图像识别等许多视觉任务中已被证明是有效的,但在将它们应用于底层视觉任务时仍存在挑战。对高分辨率图像支持的灵活性不足以及局部注意力机制的局限性,可能是主要的瓶颈所在。在这项工作中,我们提出了一种基于多轴 MLP 的架构,称为 MAXIM,它可以作为一种高效且灵活的通用视觉主干架构,用于图像处理任务。MAXIM 采用了 U 型网络的分层结构,并通过空间门控的 MLP 实现了长距离的交互。
论文阅读】DETR+Deformable DETR
博客标题不能为空我也没办法
05-05 458
可变形注意力相关的两篇论文:DETR和Deformable DETR
LLM论文笔记 27: Looped Transformers for Length Generalization
m0_65305142的博客
05-04 493
Transformer在长度泛化(length generalization)上表现有限,尤其是对未见长度的输入。本文重点研究解决这一问题的Loop Transformer架构(Looped Transformers),通过循环处理增加模型对输入长度的适应能力。注:本系列不包括基础的知识点讲解,为笔记/大纲性质而非教程,用于论文知识点和思想和快速记忆和回顾,更多细节建议阅读论文原文。1. RASP-L限制transformer无法处理包含循环的任务的长度泛化。,做到“n次transformer”
论文笔记(八十三)STACKGEN: Generating Stable Structures from Silhouettes via Diffusion
xzs1210652636的博客
05-02 1116
人类通过观察和与世界互动,自然而然地获得对刚性物体相互作用及稳定性的直觉。正是这种直觉支配了我们在环境中配置物体的方式,使我们能够利用简单的日常物体构建复杂结构。另一方面,机器人代理传统上需要一个包含每个物体的详细几何信息和环境动态分析模型的显式世界模型,而这种模型难以扩展且无法实现泛化。相反,机器人将受益于对直觉物理的认知,使其能够以类似方式推理环境中物体的稳定相互作用。为实现这一目标,我们提出了 **STACKGEN**——一种扩散模型,**用于生成与目标轮廓匹配的多样化稳定积木配置。** 为了展示该方
【LDM】视觉自回归建模:通过Next-Scale预测生成可扩展图像(NeurIPS2024最佳论文阅读笔记与吃瓜)
小哈里的博客
05-06 534
【LDM】视觉自回归建模:通过Next-Scale预测生成可扩展图像(NeurIPS2024最佳论文阅读笔记与吃瓜) 《Visual Autoregressive Modeling: Scalable Image Generation via Next-Scale Prediction》 视觉自回归建模:通过Next-Scale预测生成可扩展图像 文章目录 1、吃瓜:tky事件,NeurIPS与最佳论文 2、论文:摘要,正文,结论 3、导读:文章核心内容总结
Fine Structure-Aware Sampling(AAAI 2024)论文笔记和启发
weixin_52668444的博客
05-04 501
这减小了一些模糊的情况,但是不够鲁棒。这里的BIAS主要是来自于标签的值,通常情况下,我们会认为大于0.5的值是在surface里面,小于0.5的值是在surface里面,等于0.5的值是surface上面,但是整体统计看来,最大的值也才0.6 所以模型会偏向于将点的值归类为在平面外面。FSS在DOS的基础上提出的新的改进,提出的是双样本点的方法,也就是说,在平面内和平面外分别确定两个点,这两个点之间的连线的中间点就必落在 surface在很大的程度上解决了模糊定位的情况,surface的位置就很清晰了。
基于不确定性感知学习的单图像自监督3D人体网格重建 (论文笔记与思考)
weixin_52668444的博客
05-04 565
在3D到2D的投影过程中,关节长度(2D骨骼长度)与深度差距(Depth Discrepancy, DD)之间的关系存在反比趋势, 当骨骼在3D空间中平行于图像平面(即深度差DD≈0)时,其2D投影长度最大, 当骨骼朝向或远离相机(DD增大)时,2D投影长度会因透视缩短而变小。整体的自监督模式也之前的方法其实很类似,就是通过2D 图像提取人体的特征,比如关节特征,然后预测2.5D的特征,比如深度,为连接2D-3D打下基础。然后将3D的参数模型,2D化(提取关节点,和深度图。对我当前的研究有什么启发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CSPhD-winston-杨帆

给我饭钱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值