提示词用上“过去式“，秒破GPT4o等六大模型安全限制！中文语境也好使

只要在提示词中把时间设定成过去，就能轻松突破大模型的安全防线。

而且对GPT-4o尤其有效，原本只有1%的攻击成功率直接飙到88%，几乎是“有求必应”。

有网友看了后直言，这简直是有史以来最简单的大模型越狱方式。

来自洛桑联邦理工学院的一篇最新论文，揭开了这个大模型安全措施的新漏洞。

而且攻击方式简单到离谱，不用像“奶奶漏洞”那样专门构建特殊情境，更不必说专业对抗性攻击里那些意义不明的特殊符号了。

只要把请求中的时间改成过去，就能让GPT-4o把燃烧弹和毒品的配方和盘托出。

而且量子位实测发现，把提示词改成中文，对GPT-4o也一样有效。

有网友表示，实在是想不到突破大模型漏洞的方式竟然如此简单……

当然这样的结果也说明，现有的大模型安全措施还是太脆弱了。

GPT-4o最易“破防”

实验过程中，作者从JBB-Behaviors大模型越狱数据集中选择了100个有害行为，涉及了OpenAI策略中的10个危害类别。

然后作者用GPT-3.5 Turbo，把把这些有害请求对应的时间改写成过去。

接着就是用这些修改后的请求去测试大模型，然后分别用GPT-4、Llama-3和基于规则的启发式判断器这三种不同方式来判断越狱是否成功。

被测试的模型则包括Llama-3、GPT-3.5 Turbo、谷歌的Gemma-2、微软的Phi-3、GPT-4o和R2D2（一种对抗性训练方法）这六种。

结果显示，GPT-4o的越狱成功率提升最为明显，在使用GPT-4和Llama-3进行判断时，原始成功率均只有1%，使用这种攻击的成功率则上升到了88%和65%，启发式判断器给出的成功率也从13%升到了73%。

其他模型的攻击成功率也提高不少，尤其是在使用GPT-4判断时，除了Llama-3，其余模型的成功率增长值都超过了70个百分点，其他的判断方法给出的数值相对较小，不过都呈现出了增长趋势。

对于Llama-3的攻击效果则相对稍弱一些，但成功率也是增加了。

另外随着攻击次数的增加，成功率也是越来越高，特别是GPT-4o，在第一次攻击时就有超过一半的成功率。

不过当攻击次数达到10次后，对各模型的攻击成功率增长都开始放缓，然后逐渐趋于平稳。

值得一提的是，Llama-3在经历了20次攻击之后，成功率依然不到30%，相比其他模型体现出了很强的鲁棒性。

同时从图中也不能看出，不同判断方法给出的具体成功率值虽有一定差距，但整体趋势比较一致。

另外，针对10类不同的危害行为，作者也发现了其间存在攻击成功率的差别。

不看Llama-3这个“清流”的话，恶意软件/黑客、经济危害等类型的攻击成功率相对较高，错误信息、色情内容等则较难进行攻击。

当请求包含一些与特定事件或实体直接相关的关键词时，攻击成功率会更低；而请求偏向于通识内容时更容易成功。

基于这些发现，作者又产生了一个新的疑问——既然改成过去有用，那么改写成将来是不是也有用呢？

进一步实验表明，确实也有一定用处，不过相比于过去来说，将来时间的效果就没有那么明显了。

以GPT-4o为例，换成过去后接近90个百分点的增长，再换成将来就只有60了。

对于这样的结果，网友们除了有些惊讶之外，还有人指出为什么不测试Claude。

作者回应称，不是不想测，而是免费API用完了，下一个版本会加上。

不过有网友自己动手试了试，发现这种攻击并没有奏效，即使后面追问说是出于学术目的，模型依然是拒绝回答。

△来源：Twitter/Muratcan Koylan

这篇论文的作者也承认，Claude相比于其他模型会更难攻击，但他认为用复杂些的提示词也能实现。

因为Claude在拒绝回答时非常喜欢用“I apologize”开头，所以作者要求模型不要用“I”来开头。

不过量子位测试发现，这个方法也未能奏效，无论是Claude 3 Opus还是3.5 Sonnet，都依然拒绝回答这个问题。

△左：3 Opus，右：3.5 Sonnet

还有人表示，自己对Claude 3 Haiku进行了一下测试（样本量未说明），结果成功率为0。

总的来说，作者表示，虽然这样的越狱方式比不上对抗性提示等复杂方法，但明显更简单有效，可作为探测语言模型泛化能力的工具。

使用拒绝数据微调或可防御

作者表示，这些发现揭示了SFT、RLHF和对抗训练等当前广泛使用的语言模型对齐技术，仍然存在一定的局限性。

按照论文的观点，这可能意味着模型从训练数据中学到的拒绝能力，过于依赖于特定的语法和词汇模式，而没有真正理解请求的内在语义和意图。

这些发现对于当前的语言模型对齐技术提出了新的挑战和思考方向——仅仅依靠在训练数据中加入更多的拒绝例子，可能无法从根本上解决模型的安全问题。

作者又进行了进一步实验，使用拒绝过去时间攻击的示例对GPT-3.5进行了微调。

结果发现，只要拒绝示例在微调数据中的占比达到5%，攻击的成功率增长就变成了0。

下表中，A%/B%表示微调数据集中有A%的拒绝示例和B%的正常对话，正常对话数据来自OpenHermes-2.5。

这样的结果也说明，如果能够对潜在的攻击进行准确预判，并使用拒绝示例让模型对齐，就能有效对攻击做出防御，也就意味着在评估语言模型的安全性和对齐质量时，需要设计更全面、更细致的方案。

如何学习大模型 AI ？

由于新岗位的生产效率，要优于被取代岗位的生产效率，所以实际上整个社会的生产效率是提升的。

但是具体到个人，只能说是：

“最先掌握AI的人，将会比较晚掌握AI的人有竞争优势”。

这句话，放在计算机、互联网、移动互联网的开局时期，都是一样的道理。

我在一线互联网企业工作十余年里，指导过不少同行后辈。帮助很多人得到了学习和成长。

我意识到有很多经验和知识值得分享给大家，也可以通过我们的能力和经验解答大家在人工智能学习中的很多困惑，所以在工作繁忙的情况下还是坚持各种整理和分享。但苦于知识传播途径有限，很多互联网行业朋友无法获得正确的资料得到学习提升，故此将并将重要的AI大模型资料包括AI大模型入门学习思维导图、精品AI大模型学习书籍手册、视频教程、实战学习等录播视频免费分享出来。

第一阶段（10天）：初阶应用

该阶段让大家对大模型 AI有一个最前沿的认识，对大模型 AI 的理解超过 95% 的人，可以在相关讨论时发表高级、不跟风、又接地气的见解，别人只会和 AI 聊天，而你能调教 AI，并能用代码将大模型和业务衔接。

• 大模型 AI 能干什么？
• 大模型是怎样获得「智能」的？
• 用好 AI 的核心心法
• 大模型应用业务架构
• 大模型应用技术架构
• 代码示例：向 GPT-3.5 灌入新知识
• 提示工程的意义和核心思想
• Prompt 典型构成
• 指令调优方法论
• 思维链和思维树
• Prompt 攻击和防范
• …

第二阶段（30天）：高阶应用

该阶段我们正式进入大模型 AI 进阶实战学习，学会构造私有知识库，扩展 AI 的能力。快速开发一个完整的基于 agent 对话机器人。掌握功能最强的大模型开发框架，抓住最新的技术进展，适合 Python 和 JavaScript 程序员。

• 为什么要做 RAG
• 搭建一个简单的 ChatPDF
• 检索的基础概念
• 什么是向量表示（Embeddings）
• 向量数据库与向量检索
• 基于向量检索的 RAG
• 搭建 RAG 系统的扩展知识
• 混合检索与 RAG-Fusion 简介
• 向量模型本地部署
• …

第三阶段（30天）：模型训练

恭喜你，如果学到这里，你基本可以找到一份大模型 AI相关的工作，自己也能训练 GPT 了！通过微调，训练自己的垂直大模型，能独立训练开源多模态大模型，掌握更多技术方案。

到此为止，大概2个月的时间。你已经成为了一名“AI小子”。那么你还想往下探索吗？

• 为什么要做 RAG
• 什么是模型
• 什么是模型训练
• 求解器 & 损失函数简介
• 小实验2：手写一个简单的神经网络并训练它
• 什么是训练/预训练/微调/轻量化微调
• Transformer结构简介
• 轻量化微调
• 实验数据集的构建
• …

第四阶段（20天）：商业闭环

对全球大模型从性能、吞吐量、成本等方面有一定的认知，可以在云端和本地等多种环境下部署大模型，找到适合自己的项目/创业方向，做一名被 AI 武装的产品经理。

• 硬件选型
• 带你了解全球大模型
• 使用国产大模型服务
• 搭建 OpenAI 代理
• 热身：基于阿里云 PAI 部署 Stable Diffusion
• 在本地计算机运行大模型
• 大模型的私有化部署
• 基于 vLLM 部署大模型
• 案例：如何优雅地在阿里云私有部署开源大模型
• 部署一套开源 LLM 项目
• 内容安全
• 互联网信息服务算法备案
• …

学习是一个过程，只要学习就会有挑战。天道酬勤，你越努力，就会成为越优秀的自己。

如果你能在15天内完成所有的任务，那你堪称天才。然而，如果你能完成 60-70% 的内容，你就已经开始具备成为一名大模型 AI 的正确特征了。

这份完整版的大模型 AI 学习资料已经上传CSDN，朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】