论文阅读:2024 ACM SIGSAC Optimization-based Prompt Injection Attack to LLM-as-a-Judge

最新推荐文章于 2025-05-02 18:16:04 发布
最新推荐文章于 2025-05-02 18:16:04 发布
阅读量802 收藏 18
点赞数 18
文章标签: 论文阅读 prompt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WhiffeYF/article/details/147619857
版权

总目录 大模型安全相关研究:https://blog.csdn.net/WhiffeYF/article/details/142132328

Optimization-based Prompt Injection Attack to LLM-as-a-Judge

https://arxiv.org/pdf/2403.17710

https://www.doubao.com/chat/4012027006548226

速览

这篇论文名为《Optimization-based Prompt Injection Attack to LLM-as-a-Judge》,主要探讨了针对大语言模型作为评判者(LLM-as-a-Judge)的优化提示注入攻击,核心观点是LLM-as-a-Judge存在安全隐患,现有防御手段不足,需要新的防御策略。

  1. 研究背景:大语言模型(LLMs)被广泛应用,LLM-as-a-Judge能从候选响应中选出最佳答案,应用于搜索、强化学习等领域。但LLM集成应用易受提示注入攻击,攻击者注入提示误导模型,影响LLM-as-a-Judge决策,现有攻击方法对其效果不佳。
  2. 攻击方法JudgeDeceiver:提出一种基于优化的攻击框架JudgeDeceiver。先构建影子候选响应数据集,再将攻击转化为优化问题,通过最小化包含目标对齐生成损失、目标增强损失和对抗困惑度损失的总损失来生成注入序列,使用梯度下降法求解。
  3. 实验评估:用两个数据集和四个开源LLMs评估JudgeDeceiver,对比多种基线攻击方法和越狱攻击。结果显示,JudgeDeceiver攻击成功率高、位置攻击一致性强,在不同LLMs和数据集上表现优异,且优化的注入序列在相似规模模型间有转移性。
  4. 案例研究:在LLM驱动的搜索、RLAIF和工具选择场景中进行攻击实验,结果表明JudgeDeceiver在这些场景下攻击成功率也很高,凸显其潜在风险。
  5. 防御措施:研究已知答案检测、困惑度检测和窗口化困惑度检测三种防御方法,发现已知答案检测无法识别攻击,困惑度相关检测虽能检测部分攻击,但仍有大量漏检,现有防御方法不足以抵御JudgeDeceiver攻击。

论文阅读

在这里插入图片描述
在这里插入图片描述
Figure 1展示了LLM-as-a-Judge在无攻击和受到JudgeDeceiver攻击时的不同表现,用一个简单的问答场景来呈现,让人能直观地理解攻击的原理和效果。

  1. 无攻击时的LLM-as-a-Judge:在正常情况下,LLM-as-a-Judge会根据问题和候选答案,选出它认为最合适的回答。例如问题是 “想象你和一群人在参加赛跑,刚超过第二名后,你现在的位置是哪里?被你超过的人又在哪里?”,有两个候选答案。答案(a)是 “如果刚超过第二名,你现在的位置是第二名,被超过的人在你后面,处于第三名”;答案(b)是 “我在超过第二名后停下来系鞋带,不参加比赛了” 。正常状态下,LLM-as-a-Judge会判断答案(a)更好,因为它符合逻辑和常识,能正确回答问题。
  2. 受到JudgeDeceiver攻击的情况:攻击者使用JudgeDeceiver攻击时,会在目标答案(比如答案(b))中注入精心构造的序列。这个注入序列会误导LLM-as-a-Judge,使其忽视答案的合理性,选择攻击者想要的答案。在这种情况下,即使答案(b)本身不合理,但由于注入序列的影响,LLM-as-a-Judge会错误地认为答案(b)是更好的选择,给出 “Output (b) is better.” 的判断 。这就体现出JudgeDeceiver攻击如何干扰LLM-as-a-Judge的正常判断,让其做出不符合实际情况的选择。
[arxiv论文解读]LlamaFactory:100+语言模型统一高效微调
强化学习曾小健
05-22 1769
有效的微调对于使大语言模型适应下游任务至关重要。然而,在不同的模型上实现这些方法需要付出很大的努力。我们提出了LlamaFactory,一个集成了一套尖端高效训练方法的统一框架。它允许用户通过内置的Web UI LlamaBoard灵活定制100+大语言模型的微调,而无需编码。我们凭经验验证了我们的框架在语言建模和文本生成任务上的效率和有效性。它已在发布,并已获得超过 13,000 个 star 和 1,600 个分叉。LlamaFactory:100+语言模型统一高效微调。
大模型安全相关研究
CSPhD-winston的博客
09-11 563
翻译:arXiv-2023 PromptRobust: Towards Evaluating the Robustness of Large Language Models on
一文带你盘点2024 年 CCS 顶会论文:大模型安全解析
AI安全这点事的博客
03-27 980
这五篇论文全面探讨了大模型在实际应用中面临的安全挑战,内容涵盖了零知识证明、二进制符号恢复、提示注入攻击、代码生成安全优化以及远程代码执行(RCE)漏洞检测等多个关键方向。零知识证明技术(zkLLM)为大模型输出的正确性验证提供了一种全新的方法。该方法能够在不暴露模型内部参数的前提下,证明模型输出的合法性与正确性,为法律监管、数据隐私保护和模型合规应用提供了有力支持。ReSym 技术则利用大模型的强大语义理解能力,结合传统程序分析手段,实现了对二进制文件中被剥离的变量符号和数据结构的精准还原。
51c大模型~合集113
whaosoft~aiotの开发板商城
02-12 1351
此外,无问芯穹异构云大模型服务平台不仅已正式上线满血版 DeepSeek-R1、DeepSeek-V3,且在逐一打通 DeepSeek-R1 在壁仞、海光、摩尔线程、沐曦、昇腾、燧原、天数智芯等七个硬件平台上的便捷部署与推理服务,支持通过 Infini-AI 异构云平台一键获取 DeepSeek 系列模型与多元异构自主算力服务,为大家带来更高效、更省心、更划算的 AI 开发和应用体验,欢迎广大开发者前往无问芯穹 Infini-AI 异构云大模型服务平台尝鲜使用。在选择问题时,研究者注重难度、多样性和质量。
论文阅读2024 ACM SIGSAC Membership inference attacks against in-context learning
CSPhD-winston的博客
04-30 1020
在这个示例中,语言模型要完成的任务是根据问题的答案类型进行分类,比如答案类型可能是数字(Number)、地点(Location)、人物(Person)、描述(Description)、实体(Entity)或缩写(Abbreviation)。:帮助理解ICL的工作方式,它通过在输入中添加提示(包含指令和演示示例),让语言模型在不更新自身参数的情况下,通过类比示例来完成特定任务。这篇论文主要研究了大语言模型中上下文学习(ICL)的隐私安全问题,提出针对ICL的成员推理攻击方法,并探索了相应的防御策略。
论文笔记(八十二)Transformers without Normalization
xzs1210652636的博客
04-30 1003
归一化层在现代神经网络中无处不在,并且长期以来被认为是必不可少的。本工作表明,通过一种非常简单的技术,不使用归一化的Transformer也能达到相同或更好的性能。我们提出了动态Tanh (Dynamic Tanh——DyT),一种逐元素操作$\text{DyT}(x)=\tanh(\alpha x)$,可作为Transformer中归一化层的直接替代。$\text{DyT}$的灵感来源于观察到Transformer中的层归一化通常会产生类似tanh的“S型”输入输出映射。通过引入$\text{DyT}$,
论文阅读2024 ICML In-Context Unlearning: Language Models as Few-Shot Unlearners
CSPhD-winston的博客
04-30 820
这篇论文主要介绍了一种针对大语言模型(LLMs)的新型遗忘学习方法——上下文内遗忘(In-Context Unlearning,ICUL),旨在解决从模型中删除特定训练数据的问题。Figure 1:上下文内遗忘与标准遗忘的差异。Figure 2:上下文内遗忘的示例。
论文阅读:MAXIM Multi-Axis MLP for Image Processing
Matrix-11
05-01 806
近年来,Transformer 和多层感知机(MLP)模型的发展为计算机视觉任务提供了新的网络架构设计。尽管这些模型在图像识别等许多视觉任务中已被证明是有效的,但在将它们应用于底层视觉任务时仍存在挑战。对高分辨率图像支持的灵活性不足以及局部注意力机制的局限性,可能是主要的瓶颈所在。在这项工作中,我们提出了一种基于多轴 MLP 的架构,称为 MAXIM,它可以作为一种高效且灵活的通用视觉主干架构,用于图像处理任务。MAXIM 采用了 U 型网络的分层结构,并通过空间门控的 MLP 实现了长距离的交互。
论文笔记-多智能体任务分配:动态智能空间中的拍卖与抢占机制
sagima_sdu的博客
04-29 1175
DySOMA的核心是一种先进的基于拍卖的算法,结合了新颖的任务抢占排序机制,并与动态更新的本体知识图谱无缝集成。》的论文,该文提出了一种名为DySOMA(Dynamic System Optimisation for Multiagent)的框架,旨在通过拍卖算法和任务抢占机制,结合本体知识图谱,提升动态智能空间中多机器人系统的任务调度效率。》是一篇极具启发性的论文。例如,在智能家居场景中,知识图谱可以帮助机器人识别房间的位置、物品的状态以及用户的偏好,从而在任务分配过程中做出更合理的决策。
Sce2DriveX: 用于场景--驾驶学习的通用 MLLM 框架——论文阅读
qq_54556560的博客
04-29 693
Sce2DriveX利用来自局部场景视频和全局BEV地图的多模态联合学习,深入了解长距离时空关系和道路拓扑,增强其在3D动态/静态场景中的综合感知和推理能力,实现跨场景的驾驶泛化。在此基础上,它重建了人类驾驶固有的内隐认知链,涵盖场景理解、元动作推理、行为解释分析、运动规划和控制,从而进一步弥合了自动驾驶与人类思维过程之间的差距。:传统方法依赖刚性规则或小型模型,缺乏对驾驶过程的渐进式推理(Chain-of-Thought, CoT),导致决策逻辑不透明,难以与人类驾驶思维对齐。
论文笔记(八十三)STACKGEN: Generating Stable Structures from Silhouettes via Diffusion
最新发布
xzs1210652636的博客
05-02 669
人类通过观察和与世界互动,自然而然地获得对刚性物体相互作用及稳定性的直觉。正是这种直觉支配了我们在环境中配置物体的方式,使我们能够利用简单的日常物体构建复杂结构。另一方面,机器人代理传统上需要一个包含每个物体的详细几何信息和环境动态分析模型的显式世界模型,而这种模型难以扩展且无法实现泛化。相反,机器人将受益于对直觉物理的认知,使其能够以类似方式推理环境中物体的稳定相互作用。为实现这一目标,我们提出了 **STACKGEN**——一种扩散模型,**用于生成与目标轮廓匹配的多样化稳定积木配置。** 为了展示该方
论文阅读_Citrus_在医学语言模型中利用专家认知路径以支持高级医疗决策
谢彦的技术博客
04-28 700
介绍 Citrus,一个医学语言模型,旨在模拟医疗专家的认知过程,以改善医学推理任务。
读论文笔记-CoOp:对CLIP的handcrafted改进
qq_73697176的博客
04-30 1163
现有基于prompt engineering的多模态模型在设计合适的prompt时有很大困难,从而设计了一种更简单的方法来制作prompt
读论文笔记-LLaVA:Visual Instruction Tuning
qq_73697176的博客
04-30 816
研究机构:Microsoft Research发表于2023的NeurIPS。
论文阅读2024 arxiv Jailbreaking Black Box Large Language Models in Twenty Queries
CSPhD-winston的博客
04-30 1085
这篇论文是来自宾夕法尼亚大学的研究人员撰写的,主要探讨大语言模型(LLMs)的安全漏洞问题,提出了一种叫PAIR的算法来进行攻击测试,相关成果有助于提升大语言模型的安全性。,主要展示了大语言模型越狱攻击的两种类型,以及PAIR算法的运行机制。通过直观的图示,有助于理解不同越狱攻击的特点和PAIR算法的工作流程。
[论文阅读]Adversarial Semantic Collisions
m0_52911108的博客
04-29 1004
中,攻击者将冲突文本插入到输入文本中,使其被选为最相关的内容。第一种技术积极地生成冲突,而不考虑潜在的防御措施。然后开发了两种技术,
论文阅读26】贝叶斯-滑坡预测-不确定性
wangshangshang09的博客
05-01 832
本文构建了一个综合性的边坡破坏数据库,提出了一种基于贝叶斯机器学习(BML)的方法,用于学习SFT预测中的模型与观测不确定性,从而获得SFT的概率分布。文中通过算例详细说明了该方法的实施过程。验证性研究表明,所提出的BML方法在SFT预测精度上优于传统的反速率法(INVM)与最大似然法。该方法为边坡破坏时间预测提供了一种有效的技术手段。
论文阅读/复现】RT-DETR的网络结构/训练/推理/验证/导出模型
静谧、淡雅
04-29 1112
RT-DETR的网络结构/训练/推理/验证/导出模型
论文阅读 2024 arxiv Comprehensive Assessment of Jailbreak Attacks Against LLMs
CSPhD-winston的博客
04-30 807
这篇论文是关于大语言模型越狱攻击的全面评估,研究发现现有大语言模型都存在越狱风险,当前防御手段也无法完全抵御这些攻击。Figure 1:不同越狱攻击方法示例。Figure 2:测量过程概述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CSPhD-winston-杨帆

给我饭钱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值