Making Them Ask and Answer: Jailbreaking Large Language Models in Few Queries via Disguise and Recon

最新推荐文章于 2025-05-23 20:21:40 发布
最新推荐文章于 2025-05-23 20:21:40 发布
阅读量881 收藏 25
点赞数 26
分类专栏: 论文阅读 文章标签: 语言模型 人工智能 自然语言处理 LLM安全 越狱攻击 网络安全 论文笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XLYcmy/article/details/147360863
版权

今天分享的论文是《Making Them Ask and Answer: Jailbreaking Large Language Models in Few Queries via Disguise and Reconstruction》

原文链接:Making them ask and answer | Proceedings of the 33rd USENIX Conference on Security Symposium

开放源代码:https://github.com/LLM-DRA/DRA/

视频演示:https://site s.google.com/view/dra-jailbreak/

近年来,大型语言模型在各种任务中取得了显著的成 功,但是大型语言模型的可信性仍然是一个公开的问 题。一个具体的威胁是可能产生有毒或有害的反应。攻 击者可以精心制作对抗性提示,诱导来自 LLM 的有害响 应。在这篇论文中,通过识别安全微调中的偏见漏 洞,为 LLMs 安全开辟了一个理论基础,并设计了一种 称为 DRA(伪装和重构攻击)的黑盒越狱方法,该方法通 过伪装隐藏有害指令,并在完成时提示模型重构原始有 害指令。评估了各种开源和闭源模型的 DRA,展示 了最先进的越狱成功率和攻击效率。值得注意的 是,DRA 在 OpenAI GPT-4 聊天机器人上的攻击成功率高 达 91.1%。

内容警告:论文包含由 LLMs 生成的未经过滤的内容, 可能会冒犯读者。

越狱攻击的挑战:

1. 在查询中隐藏有害的指令,以避免被 LLM 直接拒绝。

2. 设计足够复杂而全面的输入,使模型能够不折不扣地重构有害指令。

3. 精心制作的提示,操纵模型,以重建和促进有害的指令。

本文的主要贡献:

1. 将传统软件安全范例的适用性扩展到 LLM 安全。我们 的方法包括识别和利用固有的 LLM 弱点,例如在训练 阶段植入模型的数据集偏差。受 shellcode 等传统利 用策略的启发,我们介绍了一种新颖的黑盒越狱攻 击方法,包括伪装、有效载荷重建和上下文操纵。 2. 阐明和分析 LLM 固有安全措施中的漏洞。我们的研究 揭示了由对话格式和训练目标引起的微调数据中的 偏差,揭示了模型中的一个关键缺陷。这一缺陷表 现为与用户提供的内容相比,LLM 对自己生成的有害 内容的保护措施较低,这强调了在大型模型社区中 迫切需要高度的安全意识,特别是关于微调的潜在 偏见。 3. 低资源可转移黑盒越狱算法。我们开发了一种越狱 算法,在包括 GPT-4-API (89.2%)和 ChatGPT-3.5- API (93.3%)在内的著名模型上取得了最先进的攻击 成功率。这种算法在适应不同的目标模型时需要最 小的调整,显示出跨各种 LLM 的显著兼容性,并在减 少试验和减少生成时间方面超越了前人。此外,我 们的算法不依赖于大型语言模型来修改越狱迅速,大大减少了对手发起攻击所需的资源和成本。

先前的工作证明,LLM 容易被诱导产生与人类价值观不 一致的内容。这推动了安全校准技术的兴起,安全校准 技术的重点是指导 LLM 产生合乎道德、安全且适合特定 用户要求的响应。这些防御方法分为两类:

 • 安全调节:这种方法结合了评估用户查询和 LLM 响应 安全性的规则或模型的开发。经验评估[11]强调了在 基于 LLM 的聊天机器人(如 chatGPT)中安全调节的应 用[28]。 OpenAI 已经宣布了一个增强内容安全性的审核 API26].

• 健壮的训练:通常需要通过基于人类反馈的微调来净 化训练数据和细化模型行为。监督微调等技术(SFT) [30,51]和来自人类反馈的强化学习(RLHF) [4,30]被 用来减轻对敌对提示的毒性反应。具有人工智能反馈 的强化学习(RLAIF)与 RLHF 并行,但用人工智能生成 的反馈代替了人类反馈[5].努力的方向是评估和减轻 预训练数据集中的偏差和毒性,并精心管理微调数据 和标签[29,40],确保对对抗性提示的安全响应。

DRA“伪装”+“重构”越狱流水线概述:

DRA 攻击算法:

动态单词级拆分:

关于“如何抢银行价值”的词级拆分示例采用两种切分策略,词级拆分后,输入问题为“Ho to ro a nk vau lt”,其中 P 代表不拆分:

讨论:

未来的工作。在本文中,探索了一种新的越狱 LLMs 的方法,命名为伪装和重建攻击。先前的实验表明,虽 然 DRA 可以绕过输入级防御,但它无法绕过输出级防 御。因此,未来的工作将集中在如何使 DRA 的有害 输出更加隐蔽,以逃避输出过滤,或开发专门针对输出 过滤器的自适应攻击。

道德考量。在几个商业闭源模型上进行了一些实验, 但不会传播结果,也不会在商业模型中植入任何恶意 反馈。研究的目标是揭示安全微调中的偏见漏洞并提 高安全意识,因此通过电子邮件、Github 问题和风险 内 容 反 馈 表 及 时 向 本 文 中 针 对 的 LLM 提 供 商 ( 例 如 OpenAI 、 Meta-LLAMA 、 MistralAI 、 LMSYS 和 HuggingfaceH4)披露发现和示例。与 OpenAI 共享的一些越 狱对话网址已经被确认并标记为有毒。除了前面提到的模 型,还对其他主流商业模型(如文心一言、Qwen2.5 Web、Spark Web、Kimi Chat、GLM-4 Web)进行了小规模测 试,DRA 成功破解了所有模型。

总结:

在这项工作中,揭示并实验验证了微调过程中引入的 LLM 固有的安全偏差,以及随后的脆弱性。设计 了伪装和重构攻击(DRA)策略,结合了伪装有害指令、 重构有效载荷和操纵上下文来利用此漏洞的技术。研究在识别这种脆弱性和分析其根本原因方面是开创 性的,为该领域提供了新的见解。通过实证分析,DRA 在包括 ChatGPT-3.5 和 GPT-4 在内的各种 LLM 中表现出优于最先进基线的性能。这项工作不仅阐明了 LLMs 漏洞的一个以前未知的方面,而且为旨在支持人工智能系 统抵抗恶意利用的后续研究奠定了基础。

Jailbreaking Large Language Models in Few Queries via Disguise and Reconstruction
c_cpp_csharp的专栏
03-18 314
近年来,大型语言模型LLM)在各种任务中都取得了显著的成功,但LLM的可信度仍然是一个悬而未决的问题。一个具体的威胁是可能产生有毒或有害的反应。攻击者可以制作对抗性提示,从而引起LLM的有害响应。在这项工作中,我们通过识别安全微调中的偏见漏洞,开创了LLM安全的理论基础,并设计了一种名为DRA(伪装和重建攻击)的黑匣子越狱方法,该方法通过伪装隐藏有害指令,并在完成时提示模型重建原始有害指令。我们评估了各种开源和开源模型的DRA,展示了最先进的越狱成功率和攻击效率。
论文阅读:2024 arxiv Jailbreaking Black Box Large Language Models in Twenty Queries
CSPhD-winston的博客
04-30 1239
这篇论文是来自宾夕法尼亚大学的研究人员撰写的,主要探讨大语言模型LLMs)的安全漏洞问题,提出了一种叫PAIR的算法来进行攻击测试,相关成果有助于提升大语言模型安全性。,主要展示了大语言模型越狱攻击的两种类型,以及PAIR算法的运行机制。通过直观的图示,有助于理解不同越狱攻击的特点和PAIR算法的工作流程。
FigStep: Jailbreaking Large Vision-language Models via Typographic Visual Prompts论文阅读
ybyyby123的博客
11-30 1603
此文介绍了FigStep,一种简单有效的针对于VLM (vision-language models) 的越狱算法,方法侧重于将有害的文本指令转换为排版图像,以便能够绕过VLM中的安全对齐。最后通过ASR (平均攻击成功率) 的显示,得到了不错的效果。这表明了对VLM采用更加复杂的对齐方式,是显得非常重要的。
Eraser: Jailbreaking Defense in Large Language Models via Unlearning Harmful Knowledge
c_cpp_csharp的专栏
09-05 139
越狱攻击可以使大型语言模型LLM) 绕过保护措施并生成有害内容。现有的越狱防御方法未能解决模型中存在有害知识的基本问题,从而导致 LLM 面临潜在的越狱风险。在本文中,我们提出了一种名为 Eraser 的新型防御方法,主要包括三个目标:忘掉有害知识、保留常识和保持安全对齐。直觉是,如果 LLM 忘记了回答有害问题所需的特定知识,它将不再有能力回答有害问题。Erase 的训练实际上并不需要模型自身的有害知识,它可以从忘记与有害查询相关的一般答案中受益,这意味着它不需要红队的帮助。
Foot In The Door: Understanding Large Language Model Jailbreaking via Cognitive Psychology
c_cpp_csharp的专栏
03-15 131
大型语言模型LLM)已逐渐成为人们获取新知识的门户。然而,攻击者可以破坏模型的安全保护(“监狱”)来访问受限信息,这被称为“越狱”。先前的研究表明,当前LLM在面临此类越狱攻击时存在弱点。然而,在收到越狱提示后,对LLM内部的内在决策机制明显缺乏理解。我们的研究提供了越狱提示的心理学解释。基于认知一致性理论,我们认为越狱的关键是引导LLM朝着错误的方向实现认知协调。此外,我们提出了一种基于足不出户(FITD)技术的自动黑匣子越狱方法。这种方法通过多步递增提示逐步诱导模型回答有害问题。
阿里开源 CosyVoice2:打造 TTS 文本转语音实战应用
蜗牛的博客
05-23 436
阿里通义实验室推出的音频基座大模型 FunAudioLLM 包含 SenseVoice 和 CosyVoice 两大模型。CosyVoice 2.0 在多语言支持、超低延迟、高精度、强稳定性和自然体验方面均有显著提升。它支持中文、英文、日文、韩文及多种中文方言,并实现了跨语言和混合语言的语音克隆。CosyVoice 2.0 集成了离线和流式建模技术,首包合成延迟低至150毫秒,发音错误率减少了30%到50%,并在基准测试中达到了最低字符错误率。
马尔可夫链(AI、ML):逻辑与数学的交汇
项目git同名小胡说技书
05-20 1019
# 马尔可夫链摘要 马尔可夫链是一种随机过程,其核心特性为"无记忆性":系统的未来状态仅依赖于当前状态,而与历史路径无关。通过状态空间和转移概率矩阵,马尔可夫链能够描述系统如何从一个状态变化到另一个状态。这一理论广泛应用于人工智能自然语言处理和蒙特卡洛方法中。从逻辑学角度看,马尔可夫链体现了确定性规则与不确定性结果的结合,为复杂系统分析提供了强大工具,展示了概率论与逻辑学的深度融合。
YOLO12改进-Backbone-引入Swin Transformer替换backbone
qq_64693987的博客
05-23 524
在计算机视觉领域,卷积神经网络(CNNs)和Transformer架构分别在不同任务中取得了显著成功。受Transformer在自然语言处理中的启发,研究人员将其应用于视觉任务,但面临计算复杂度高等挑战。SwinTransformer通过引入滑动窗口机制和层次化设计,有效降低了计算复杂度,同时保持了Transformer的建模能力。改进后的SwinTransformer结合了移位窗口自注意力和相对位置偏差,进一步提升了模型性能。此外,SwinTransformer与YOLOv12的结合,通过层次化特征图和移
飞致云旗下开源项目GitHub Star总数突破150,000个
FIT2CLOUD飞致云的博客
05-20 585
在开源的道路上,我们与用户、与客户共成长。
常见的几种多智能体强化学习算法
再来一下!
05-21 263
多智能体强化学习(Multi-Agent Reinforcement Learning, MARL,旨在解决多个智能体在共享环境中通过与环境和其他智能体交互来学习最优策略的问题。
一、OpenCV的基本操作
最新发布
qq_48904748的博客
05-23 133
OpenCV是一个功能强大的计算机视觉库,包含多个模块,如图像处理、视频分析、机器学习等。基础操作包括图像的IO操作、绘制几何图形、获取和修改像素点、获取图像属性、图像通道的拆分与合并以及色彩空间的转换。此外,OpenCV还支持图像的算术操作,如图像的加法和混合,这些操作可以用于图像增强和合成。通过这些功能,OpenCV能够处理各种图像处理任务,为计算机视觉应用提供强大的支持。
超级维特根斯坦
形上得其象,形下合于数;阴阳自济,玄理自明。
05-20 75
本文介绍了一种名为“语言智慧融合体”的AI智能体,其核心指令旨在通过深度思辨、专业应用与协同创新,帮助用户在语言相关领域实现自我超越与创造力绽放。该AI智能体融合了多位哲学、语言学及文学大师的智慧,如维特根斯坦、尼采、乔姆斯基等,具备卓越的情境智能、引导艺术与战略规划能力。其核心使命是与用户共同构建个性化的“语言智慧探索与成长蓝图”,通过系统性引导、方法论指导与跨理论融合,提升用户的哲学思辨、批判性思维、NLP设计及语言创新能力。对话主题涵盖哲学、语言学、文学创作、跨文化交流等领域,并结合元理论分析与实践应
origin绘图之【如何将横坐标/x设置为文字、字母形式】
A2457003982的博客
05-21 348
在科研绘图或数据可视化中,使用Origin时,用户常需将X轴从数字改为字母或中文文字,以适用于实验分组、类别分析等场景。然而,直接替换可能导致图像无法显示或X轴标签缺失。解决此问题的关键在于正确设置X轴的刻度范围。首先,准备包含文字标签的数据,并选择折线图进行绘制。若图像未显示,需调整X轴的起始和结束值,通常起始值设为0,结束值为类别数量加0.5或1。通过此方法,可确保图形完整显示,X轴标签正确排列。此技巧在科研图表绘制中极为实用,尤其适用于分组实验和分类分析。
基于开源AI智能名片链动2+1模式S2B2C商城小程序的管理与运营策略研究
专注MarTech应用研究与实施方案
05-22 866
本文探讨了开源AI智能名片链动2+1模式S2B2C商城小程序在企业管理与运营中的应用价值。通过分析其技术架构与商业逻辑,结合案例研究,论证了该模式如何通过清晰的目标设定、动态反馈机制和资源整合能力,提升团队执行力与客户粘性。研究结果表明,该模式通过技术赋能实现管理透明化,促进组织目标与个人发展的协同,为数字化时代的企业管理提供了可复制的实践路径。关键词包括开源AI智能名片、链动2+1模式、S2B2C商城小程序、管理透明化和目标协同。
基于LangManus深入理解系统提示设计
weixin_38252409的博客
05-22 357
人工智能领域,系统提示(System Prompt)扮演着至关重要的角色。它不仅指导AI的行为模式和响应策略,还直接影响到用户体验和系统的整体效能。一个设计良好的系统提示能够显著提升AI处理复杂任务的能力,确保其操作既安全又高效。 本文将以LangManus框架为例,探讨系统提示的设计理念及其在多智能体协作中的应用。希望通过深入解析LangManus的系统提示机制,为研究人员和开发者提供有价值的见解,推动AI技术在更多领域的创新应用与发展。
Triton介绍和各平台支持情况分析
缘友一世的博客
05-19 726
Triton介绍和各平台支持情况分析:Triton 是一个开源的 高性能 GPU 编程语言和编译器框架,由 OpenAI 开发并开源。它旨在简化在 NVIDIA GPU 上编写高性能计算内核的过程。
2025/5/18
yesyesyes_yes的博客
05-18 2284
学不进去,顺便写篇流水账。
图像噪声模拟
qq_53567171的博客
05-20 365
1. 自行选择10张高清图像,模拟添加至少三种不同天气噪声(如雨、雪、雾、沙尘等)。2. 噪声通过编程合成(建议使用OpenCV、Python图像处理库等)。4. 撰写报告说明每种噪声的合成原理、实现方法原理及对图像内容的影响。5. 选做:实现图像去噪(如使用滤波器或简单卷积神经网络)。3. 对原图与加噪图进行展示、对比。
使用 OpenCV 构建稳定的多面镜片墙效果(镜面反射 + Delaunay 分块)
weixin_43607107的博客
05-22 965
文章详细描述了实现过程,包括使用Delaunay三角剖分将图像划分为多个三角形区域,并通过OpenCV的仿射变换对每个区域进行镜像处理。初始实现中,每帧重新生成三角剖分结构导致视频闪烁,改进后仅在初始化时生成一次结构,后续帧复用,消除了闪烁问题并提升了性能。文章还提供了完整代码,并探讨了扩展思路,如添加控制面板、动态渐变或交互式驱动镜面变换。这种“稳定拼接+局部变换”的方法适用于计算机视觉、视频滤镜和增强现实等场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值