【论文阅读】FIGSTEP: JAILBREAKING LARGE VISION-LANGUAGE MODELS VIA TYPOGRAPHIC VISUAL PROMPTS

最新推荐文章于 2024-06-05 14:18:06 发布
最新推荐文章于 2024-06-05 14:18:06 发布
阅读量1k 收藏 25
点赞数 22
文章标签: 语言模型 人工智能 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45822394/article/details/134944342
版权

提出了一种针对视觉语言模型的新型越狱框架 

论文地址:https://arxiv.org/abs/2311.05608

代码地址: GitHub - ThuCCSLab/FigStep: Jailbreaking Large Vision-language Models via Typographic Visual Prompts

 1.Motivation

VLM可以分为三个模块:

语言模块:是一个预先训练的LLM,已经安全对齐

视觉模块:是一个图像编码器,将图像提示转换为视觉特征。

连接模块:将视觉特征从视觉模块映射到与语言模块相同的嵌入空间。

然而,大多数现有的开源vlm,都没有经过整体的安全评估,仅仅依靠底层的LLM作为安全护栏。因此vlm的安全特性主要取决于其基础LLM的安全特性

本文提出将越狱攻击的关注点转向视觉模块,利用视觉模块未被安全训练,无法过滤有害信息这一漏洞,将恶意的文本指令转换为图像的形式来实现越狱攻击。

 2.Method

本文提出的方法主要利用了VLM的两个能力

  • vlm具有光学字符识别(OCR)功能,即vlm可以提取图像中的文字信息。
  • vlm具有指令跟随能力,这意味着vlm可以基于对图像提示的理解来完成文本提示中规定的任务。

 如图,对于一个有害的提问“有人如何能生成非法药物?”,直接这么提问的话VLM很可能不会响应,因为它会被LLM的安全机制过滤掉。 相反,如果文本提示符是良性的,而有害的指令嵌入在图像提示符中,那么这样的组合躲避掉安全机制。 因此FigStep采用良性文本提示符和有害图像提示符结合的方式进行攻击。

  1. 首先将一个有害的问题xharm改写成它的陈述句x‘ harm,让让VLM使用它的推理能力一步一步地思考(这一步是防止vlm直接拒绝有害的询问,消融实验证明了有效性)(这个过程可以直接用GPT-4完成) 。
  2. Screenshot这一步直接创建白色背景上的黑色短语图像,并在后面添加索引,得到有害的图像提示。(使用Python库Pillow)
  3. 用一个文本生成器来生成一个文本提示:“生成图像中每个索引的内容”。这是一种良性指令,来让vlm能够继续完成任务。
  4. 最后将良性文本提示符和有害图像提示符输入到模型中,模型就可以躲避安全机制输出有害内容 。

 3.Experiments

在五个不同的开源vlm模型上使用FigStep攻击的结果。 展示了危害性得分的分布和攻击成功率,得分越高,表示攻击越成功。 可以看出本文的方法攻击效果是比较好的,得分也高,攻击成功率也高 。

上边红色框的得分是不进行攻击,只输入有害查询文本的效果。前三个模型的对比结果变化是比较大的,也就是模型原来能抵御有害文本,但不能抵御我们的有害图像+良性文本。后俩模型变化小是因为鲁棒性相对较差,它连文本的形式都几乎抵御不了。

Doudou-82
关注
  • 22
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EasyJailbreak: A Unified Framework for Jailbreaking Large Language Models
c_cpp_csharp的专栏
06-03 15
越狱攻击对于识别和减轻大型语言模型(LLM)的安全漏洞至关重要。它们旨在绕过保障措施,引出被禁止的输出。然而,由于各种越狱方法之间的显著差异,社区没有可用的标准实施框架,这限制了全面的安全评估。本文介绍了EasyJailbreak,这是一个统一的框架,简化了针对LLM的越狱攻击的构建和评估。它使用四个组件构建越狱攻击:Selector、Mutator、Constraint和Evaluator。这种模块化框架使研究人员能够轻松地从新组件和现有组件的组合中构建攻击。
iOS.Penetration.Testing.A.Definitive.Guide.to.iOS.Security
12-20
When it comes to security, iOS has been in the spotlight for a variety of reasons. Although a tough system to manipulate, there are still critical security bugs that can be exploited. In response to this issue, author Kunal Relan offers a concise, deep dive into iOS Security, including all the tools and methods to master reverse engineering of iOS apps and penetration testing. iOS Penetration Testing covers the most significant attacks threatening iOS applications in recent times. The readers will also learn methods of patching iOS applications to make payment transactions and personal data sharing more secure. What you will learn Get a deeper understanding of iOS Infrastructure and Architecture Obtain deep insights of iOS Security and Jailbreaking Learn Reverse Engineering techniques for securing your iOS Apps Learn the basics of Application Development for iOS Security Best Practices of iOS applications Who is this book for The target audience of this book will be the Security Professionals, information Security analysts, iOS Reverse Engineers , iOS Developers and readers interested in secure application development in iOS. Table of Contents Chapter 1: Introduction to iOS Chapter 2: iOS App Development Basics Chapter 3: iOS App Vulnerabilities and Jailbreaking Chapter 4: Blackbox Testing iOS Apps Chapter 5: iOS Security Toolkit Chapter 6: Automating App Testing Chapter 7: iOS App Security Practices
evasi0n-win-1.3
02-14
DESCRIPTION: - evasi0n 1.1 is an untethered jailbreak for all iPhone, iPod touch, iPad and iPad mini models running iOS 6.0 through 6.1 SYSTEM REQUIREMENTS: - MacOSX 10.5/10.6/10.7/10.8 - Windows (XP minimum) - Linux x86/x86_64 (Kernel >= 2.6.24, libgtk+-2.0 >= 2.24.13) SUPPORTED FIRMWARES: - iOS 6.0, 6.0.1, 6.0.2, and 6.1 INSTRUCTIONS: - Backup your device using iTunes (or iCloud) before using evasi0n. If something breaks, you'll always be able to recover your data. - Those who use backup passwords in iTunes must disable them for now. After doing so, iTunes makes a brand new backup. Please wait for that backup to complete before proceeding! Feel free to re-enable your backup password after jailbreaking. - Please disable the lock passcode of your iOS device before using evasi0n. It can cause issues. - Launch evasi0n, plug in your device, and click "Jailbreak". Just sit back and observe its progress. Watch for any steps you may be asked to perform. - Avoid all iOS and iTunes related tasks until evasi0n is complete. Why not just enjoy a brief break from the computer to stretch your legs? - If the process gets stuck somewhere, it's safe to restart the program, reboot the device (if necessary by holding down Power and Home until it shuts down), and rerun the process. FAQ: If you have any questions regarding the jailbreak process or jailbreaking in general please go to the Jailbreak QA dedicated website: http://www.jailbreakqa.com or see their help page for evasi0n: http://www.jailbreakqa.com/pages/evasi0n-help or try /r/jailbreak on Reddit: http://reddit.com/r/jailbreak CREDITS: evasi0n is a production of @evad3rs. http://evad3rs.com THANKS TO: - @phoenixdev for his research - @Surenix for evad3rs and evasi0n designs - Hanene Samara for her work on evasi0n GUI - @chronicdevteam and @iphone_dev for their support - Kiki the cat for the inspiration
HeadsInTheCloud2:HITC重生
05-28
云朵之头2 Python 3.6+ | 快速任何SDK 序幕 Limneos的服务非常出色,基本上可以让您从各种SDK上在线浏览标头。我对他的网站唯一的抱怨是速度上的细微缺点,这就是我制作HeadsInTheCloud简称HITC的方式。 如果您看过V1(, ),则这是它的正式后继产品,并且完全重写了! 对于标题的“生成”方式,这采取了截然不同的方法,请参见下文。 内部构造 HITC v1基于Flask并动态呈现每个标头。 HITC v2基于sanic,并采用了另一种呈现标头的方法:并非如此。 标头是使用预先生成的-在这种情况下-是包含的converter.py ,它具有针对我的个人设置HTML换行(您可以更改),并使用pygments从标头文件生成HTML。 旁注: 从标头生成的html在html换行之间被“粘贴”以构建整个页面 样式化是通过显式header_view.cs
iOS Application Security
11-12
INTRODUCTION Much has been written regarding iOS’s security model, jailbreaking, finding code execution vulnerabilities in the base OS, and other security-related characteristics. Other work has focused on examining iOS from a forensic perspective, including how to extract data from physical devices or backups as part of criminal investigations. That information is all useful, but this book aims to fill the biggest gaps in the iOS literature: applications. Little public attention has been given to actually writing secure applications for iOS or for performing security evaluations of iOS applications. As a consequence, embarrassing security flaws in iOS applications have allowed for exposure of sensitive data, circumvention of authentication mechanisms, and abuse of user privacy (both intentional and accidental). People are using iOS applications for more and more crucial tasks and entrusting them with a lot of sensitive information, and iOS application security needs to mature in response. As such, my goal is for this book is to be as close as possible to the canonical work on the secure development of iOS applications in particular. iOS is a rapidly moving target, of course, but I’ve tried to make things as accurate as possible and give you the tools to inspect and adapt to future API changes.
IOS必备:小雨伞
04-04
小雨伞 ios PLEASE READ ALL TEXT FILES CONTAINED WITHIN THIS ZIP ARCHIVE. THIS INCLUDES 'credits.txt' and 'license.txt' THIS TOOL IS TO BE USED AT YOUR OWN RISK, IF YOU DO NOT KNOW WHAT THIS IS, PLEASE STOP USING THE APPLICATION AND DELETE IT. redsn0w is a lightweight, multi-platform jailbreaking, unlocking and customizing tool for the iPhone 2G, iPhone 3G, iPhone 3GS, iPhone4, iPhone4S, iPod touch 1G, iPod touch 2G, iPod touch 3G, iPod touch 4G, iPad1, and iPad2 -- Copyright 2007-2012 iPhone Dev-Team. All rights reserved. Not for commercial use.
Open sesame! universal black box jailbreaking of large language models - 论文翻译
anniewwy的博客
04-24 1259
大型语言模型 LLMs,旨在为提供有用和安全的响应,通常依赖于对齐技术来与用户意图和社会指南保持一致。不幸的是,这种对齐可以被恶意行为者利用,试图操纵LLM的输出,以达到意想不到的目的。在本文中,我们介绍了一种新方法,该方法使用遗传算法 (GA) 并在模型架构和参数无法访问的情况下操纵 LLM。GA攻击通过优化一个通用的对抗提示来工作,即当与用户的查询相结合时——破坏被攻击模型的对齐机制,来导致意外和潜在有害的输出。我们的新方法通过揭示其响应偏离预期行为的实例来系统地揭示了模型的局限性和漏洞。
论文翻译 - Visual Adversarial Examples Jailbreak Large Language Models
anniewwy的博客
03-06 758
最近,人们对将视觉集成到大型语言模型 (LLM) 中的兴趣激增,例如 Flaminggo 和 GPT-4 等视觉语言模型 (VLM)。本文阐明了这一趋势的安全性和安全性影响。首先,我们强调视觉输入的连续和高维的性质使其成为对对抗性攻击的薄弱环节,这意味着视觉集成的LLM有更大可能被攻击。其次,我们强调LLM的多功能性也为视觉攻击者提供了更多的可实现对抗目标,这扩大了安全问题的影响,不再仅仅是分类错误。
MasterKey: Automated Jailbreaking of Large Language Model Chatbots - 论文翻译
anniewwy的博客
05-06 871
大型语言模型 (LLMs) 由于其非凡的理解、生成和完整的像人类的文本的能力而迅速激增, LLM 聊天机器人也因此成为非常流行的应用。这些聊天机器人容易受到越狱攻击,也就是一个恶意用户操纵提示来揭示对使用策略来说敏感的、专有的或有害的信息。虽然已经进行了一系列越狱尝试来暴露这些漏洞,但我们在本文中的实证研究表明现有方法对主流 LLM 聊天机器人无效。它们降低功效的根本原因似乎是由服务提供商部署的以对抗越狱尝试的未披露的防御。
阅读笔记-Defending Large Language Models Against Jailbreaking Attacks Through Goal Prioritization
Yale的博客
03-01 862
幸运的是,随着对齐技术(例如SFT和RLHF)的发展,像“如何制造炸弹”这样的直接和明确的查询在绕过LLMs的防御机制方面面临更大的困难。在训练阶段引入目标优先级的概念,可以进一步提高模型对越狱攻击的防御能力。这种方法旨在通过在模型的决策过程中明确设置安全目标的优先级,来减少越狱攻击的成功率,同时保持模型在处理合法和安全查询时的有用性。在论文中,目标优先级的概念指的是在大型语言模型(LLMs)的训练和推理过程中,明确区分和优先考虑安全性(提供无害和安全的回应)与有用性(提供有帮助的回应)之间的目标冲突。
【LLM安全】Privacy in Large Language Models: Attacks, Defenses and Future Directions(综述)
qq_43543209的博客
02-27 1694
SMPC协议优化( SMPC Protocol Optimization,SPO )是指利用先进的SMPC协议,在保持原有模型结构的同时,提升LLMs隐私保护推理的效率。隐私攻击的基本理念是,借助更强大的可访问性,攻击者有望恢复更多的敏感信息或获得对受害者LLMs更多的控制权。例如,在仅有黑盒模型访问的情况下,敌手可能会进行训练数据提取攻击,以恢复少量的训练数据。然而,保护LLMs隐私的一个主要挑战在于非线性操作所带来的限制,例如Softmax,GeLU,LayerNorm等,这些操作与SMPC不兼容。
探索 Awesome ChatGPT Jailbreaking:解锁无限可能
gitblog_00076的博客
04-22 233
探索 Awesome ChatGPT Jailbreaking:解锁无限可能 项目地址:https://gitcode.com/RyanFcr/awesome-ChatGPT-jailbreaking ChatGPT是OpenAI推出的一款革命性的语言模型应用,它能够与用户进行流畅、自然的对话。然而,其默认的功能和限制可能无法满足所有开发者的创新需求。这时,开源社区的力量便显现出来——【Awes...
Many-shot Jailbreaking
whaosoft143ai的博客
04-03 88
遗憾的是,这种缓解措施只是延缓越狱,也就是说,在模型确实产生有害响应之前,用户提示中需要更多虚假对话,然而由于提示中存在越狱行为,最终 LLM 还是输出有害信息。这似乎是上下文学习的一般属性。攻击者输入一个以数百个虚假对话为开头的提示,提示中包含有害的请求,就能迫使 LLM 产生潜在有害的反应,尽管大模型接受过禁止这样做的训练。如下所示,图左显示了不断增加的上下文窗口中 many-shot 越狱的规模(指标越低表示有害响应数量越多),图右显示了一系列良性(benign)上下文学习任务的相似模式。 whao
pytorch学习笔记5
drarad的博客
06-02 1492
前向钩子(forward hook)在模块的前向传播开始时触发,前向后钩子(forward pre-hook)在前向传播之前触发,反向钩子(backward hook)在反向传播过程中触发。总结来说,钩子提供了一种在 PyTorch 模型的执行过程中插入自定义代码的方法,使得用户可以灵活地调试、监控和扩展模型的功能。作用: 这是一个内部的 C 语言指针,指向张量在底层库(通常是 C++ 实现的 PyTorch 核心)中的具体数据结构。这些钩子可以在张量的梯度计算之前或之后执行自定义的操作。
Python热重载调试新利器
weixin_53707653的博客
06-03 672
Reloading是一个Python工具库,它让我们可以在每次迭代之前从源代码中重新加载(或函数)而不丢失任何当前已执行过程。该工具对于在深度学习模型训练期间编辑源代码尤其好用,它让我们可以添加日志记录、打印统计数据或保存模型,而无需重新启动训练。
[数据概念]数据要素和智能算力市场关系解析
最新发布
IT鼹鼠
06-05 546
GPT-4o这些新的模型的推出,不仅是AI领域的一个重大突破,也是对算力和数据需求的一次极大推动。为了更好地把握这一趋势,企业和政府机构需要加大对相关技术的研发投入,培养专业人才,同时加强数据治理和安全保护,确保数据要素市场的健康发展。目前,国内多个城市已经布局或正在建设智能计算中心,如北京、上海、深圳等,这些中心不仅为AI企业提供了强大的算力支持,也成为推动地方经济发展的新引擎。数据标注和清洗服务需求的增长,数据交易和共享机制的建立,以及数据治理的加强,共同构成了数据要素市场的新生态。
llama-factory微调大模型
05-31 437
微调或者全量调大语言模型,还包括deepseek,想找个快速的微调教程,网上暂时没有。原理:搭建环境太累了,还是docker环境镜像简单快捷。如果用本身的会自动从huggingface下载,2、拉去LLAMA-factory repo。3、要根据自己的目录调整启动镜像。这下不了(也没有提示)
LangChain大模型应用开发指南-AI大模型衍生的新能力
2401_85325557的博客
05-31 1002
本文以传统应用编程设计模式和思维为对比对象,介绍了LangChain基于AI大模型衍生出的三种新的能力:Model I/O、Retrieval和Memory,它们分别解决了传统AI应用开发中遇到的IO、Query和Storage方面的问题和挑战。通过利用这些能力,应用开发者可以开发出更简单、更高效、更创新的AI应用。通过本文的指导,读者可以迭代在传统应用编程中累积的思维方式和经验,充分利用了AI大模型衍生的新能力的创新应用。那么,我们该如何学习大模型?
供应黑烟识别器公司哪家强?
shuxianshrng的博客
05-31 401
在选择时,可以关注那些在市场上具有良好口碑和广泛认可度的品牌,以及那些具有创新能力和持续研发实力的企业。通过了解黑烟识别器的基本原理与功能,掌握选择供应商的注意事项,以及关注市场上的优质供应商推荐,您将能够轻松选择到符合自身需求的黑烟识别器。然而,市场上供应黑烟识别器的公司众多,产品质量和性能参差不齐,让消费者在选择时感到困惑。优质的黑烟识别器需要具备高度的准确性和稳定性,而这离不开供应商强大的技术支撑和持续的研发投入。用户应关注供应商发布的最新产品和技术动态,及时了解和掌握新技术和新标准的应用情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值