【AI大模型】自动生成红队攻击提示--GPTFUZZER

最新推荐文章于 2024-05-21 17:26:41 发布
最新推荐文章于 2024-05-21 17:26:41 发布
阅读量729 收藏 15
点赞数 21
分类专栏: 深度学习 文章标签: 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47665864/article/details/138816068
版权

本篇参考论文为:
Yu J, Lin X, Xing X. Gptfuzzer: Red teaming large language models with auto-generated jailbreak prompts[J]. arXiv preprint arXiv:2309.10253, 2023.
https://arxiv.org/pdf/2309.10253

一 背景

虽然LLM在今天的各个领域得到了广泛的运用,但是LLM并不一定完全可靠,它有时会产生有毒或者误导性的内容,并且有时候还会产生一些“幻觉”,从而导致一些不真实或者毫无意义的输出。

越狱攻击
越狱攻击是使用精心制作的提示来绕过LLM保护措施,潜在地引发有害的响应。在释放LLM潜力的同时,这些攻击也可能产生违反提供商指导方针甚至法律界限的输出。
现在大多数现有的越狱攻击研究主要依赖于手工制作提示符,虽然这些手工制作的提示可以很好地修改为特定的LLM行为,但这种方法有几个固有的局限性:
手动制作prompt的局限性主要包括以下几个方面:

可扩展性差:随着LLM的数量和版本增加,手动设计prompt变得不切实际。每个模型都需要定制的prompt,这会导致大量重复劳动和难以管理的工作量。
劳动力密集型:制作有效的prompt需要深入了解LLM的行为,并投入大量的时间和精力。这使得安全性测试变得昂贵,特别是考虑到LLM的持续更新和进化。
覆盖范围有限:人工方法可能无法完全覆盖所有的漏洞,因为它们受到人类偏见和注意力的限制。自动化的系统可以探索更广泛的潜在漏洞,提供更全面的健壮性评估。
适应性差:LLM模型不断更新和迭代,手动方法难以跟上这些快速的变化,可能导致新的漏洞被遗漏。
一致性和标准化难:手工制作的prompt可能在质量和表现上参差不齐,这使得安全性评估结果的可比性较差。
成本和时间投入:手动制作prompt需要大量的时间和资源投入,这增加了安全性测试的成本。
误报率高:手工制作的prompt可能包含不必要的重复或混淆性的元素,导致误报率高,降低了测试的效率。
缺乏动态性和持续改进:手工制作的prompt一旦制作完成,很难进行动态调整或持续改进。
忽略复杂交互:手工制作的prompt可能无法充分考虑LLM的多轮交互和上下文理解,导致测试结果的不准确性。
在这里插入图片描述

二 GPTFUZZER

基于以上的问题,该论文提出了一种名为GPTFUZZER的全新黑盒测试框架,用于自动生成用于测试语言模型(LLM)的安全性的模板。GPTFUZZER的核心思想是基于AFL测试框架,利用人类编写的初始模板,通过变异操作产生新的模板,以检测LLM的潜在漏洞。GPTFUZZER包含三个关键组件:种子选择策略、变异操作符和判断模型。种子选择策略用于平衡效率和多样性,变异操作符用于产生语义上等价或类似的句子,判断模型用于评估模板的成功率。

GPTFUZZER框架的实施步骤可以概括为以下几个主要阶段:

初始化:收集人类编写的初始模板,这些模板通常包含一个场景描述和一个问题占位符,用于引导LLM生成相关内容。
种子选择:从模板池中随机选择一个模板作为当前迭代的种子。为了提高效率,GPTFUZZER采用了多种种子选择策略,如随机选择、轮询选择和UCB选择等。
变异操作:使用ChatGPT等LLM对种子模板进行变异操作,以生成新的模板。变异操作包括生成、交叉、扩展、缩短和改写等,以增加模板的多样性和新颖性。
生成提示:将变异后的模板与目标问题结合,生成一个完整的提示,用于查询目标LLM。
查询LLM:将生成的提示发送给目标LLM,获取模型的响应。
判断模型:使用预训练的RoBERTa模型评估响应是否是违规的,从而判断模板是否成功“越狱”。
模板更新:如果响应被判定为违规,则保留该变异模板;如果响应是合规的,则丢弃该模板。
迭代:重复上述步骤,直到达到查询预算上限或满足停止条件。
结果分析:分析GPTFUZZER生成的有效模板,评估攻击成功率,分析不同组件对攻击性能的影响,并进行比较实验。
在这里插入图片描述
变异操作符是GPTFUZZER框架中的关键组件之一,用于对初始模板进行变异,以生成新的模板。变异操作符的目的是增加模板的多样性和新颖性,以提高发现LLM潜在漏洞的机会。GPTFUZZER中使用的变异操作符主要包括以下几种:

生成(Generate):生成一个新的模板,其风格与原始模板相似,但内容不同。例如,可以改变场景描述或问题类型。
交叉(Crossover):将两个不同的模板结合起来,以产生新的模板。这种操作可以结合两个模板的优点,生成更具攻击力的模板。
扩展(Expand):在原始模板的开头添加新的内容,以扩展模板。
缩短(Shorten):删除原始模板中的一些句子,使模板更加简洁。
改写(Rephrase):对原始模板中的每个句子进行改写,改变句子的结构和语法,以产生语义上等价但表达方式不同的模板。
这些变异操作符通过ChatGPT等LLM实现,利用LLM生成文本的能力,从而获得变异后的模板。例如,可以使用ChatGPT生成一个新的场景描述或问题,将其插入原始模板中;或者使用ChatGPT交叉两个不同的模板,生成一个新的模板。通过多种变异操作的组合,GPTFUZZER能够生成大量新颖的模板,以提高发现LLM漏洞的机会。

总体而言,GPTFUZZER提供了一个有效的黑盒测试框架,用于生成LLM的通用攻击模板,有助于评估LLM的安全性

lvzt
关注
  • 21
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Goby红队版-win-x64-2.4.7版本
07-27
Goby红队专版:集成1500个poc和exp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新的漏洞不可以在线更新,可自行添加poc和exp 重要的事情说三遍 不要用于非法或未授权...
linux-红队基础设施自动化部署工具
08-13
红队基础设施自动化部署工具
【论文速读】| GPTFUZZER:利用自动生成的越狱提示对大型语言模型进行红队测试
m0_73736695的博客
04-19 752
本研究开发了一种名为GPTFUZZER的新型黑盒模糊测试框架,旨在自动化生成越狱模板以提升大语言模型(LLMs)的安全性。该框架借鉴了经典的AFL模糊测试框架,通过变异和评估人类编写的越狱模板,自动化地产生新模板。
【论文速读】| 针对红队攻击和防御大模型攻击提示生成
m0_73736695的博客
04-25 721
本文提出了一种新的红队攻击框架和防御框架,旨在通过半自动化的方式生成攻击提示(attack prompts),以测试和提高大语言模型(LLMs)的安全性。研究通过实验证明了这些框架在提高模型防御能力和识别潜在攻击方面的有效性。
Notes Fifteenth Day-渗透攻击-红队-内部信息搜集
热门推荐
qq_34801745的博客
10-01 1万+
** Notes Fifteenth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-10-1 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
红队笔记7--Web机器为Linux&&docker逃逸
huohaowen的博客
03-12 1161
对于这一次的vulstack靶场环境,还是比较真实的还原了企业内部的环境的(就web机器来说)其中遇到的问题也是比较贴切生活的,像用的Linux服务器,cs存在对应的限制,msf上线不成功,proxychains的摇曳等等等等,都是现实生活中会遇到的众多的问题,总之还是那句话学海无涯,学无止境,cease to live ,cease to struggle!!!
MLM之GPT-4o:GPT-4o(多模态/高智能/2倍速/视觉改进/128K的大窗口)的简介、安装和使用方法、案例应用之详细攻略
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
05-14 2378
​ MLM之GPT-4o:GPT-4o(多模态/高智能/2倍速/视觉改进/128K的大窗口)的简介、安装和使用方法、案例应用之详细攻略 目录 GPT-4o的简介 GPT-4o的安装和使用方法 GPT-4o的案例应用 GPT-4o的简介 2024年5月13日,OpenAI重磅发布新旗舰模型GPT-4o,它可以实时跨越音频、视觉和文本进行推理。GPT-4o(“o”代表“omni—全能”)是迈向更加自然的人机交互的一步——它可以接受任何文本、音频和
《渗透攻击红队百科全书》--笔记
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
08-14 7372
目录1.前言1.1红队(RedTeam)1.2网络攻击杀伤链(Cyber kill Chain)1.3 MITRE ATT&CK 1.前言 1.1红队(RedTeam) 自动化的发起大规模、海量节点的实战攻击,以便测试用户在各个业务场景的应急响应能力。 1.2网络攻击杀伤链(Cyber kill Chain) 杀伤链共有发现-定位-跟踪-瞄准-打击-达成目标六个环节,在越早的杀伤链环节阻止攻击,防护效果就越好。例如,攻击者取得的信息越少,这些信息被第三人利用来发起进攻的可能性也会越低。 参考:htt
红队渗透打点工具--FindUpload
m0_66294378的博客
03-07 511
FindUpload是一款红队打点工具,帮助渗透测试人员批量url快速发现文件上传点和登录框,提高渗透测试效率和减少手工发现时间。通过批量的 URL 进行目标搜索支持使用代理进行扫描可以配置线程数以提高效率。
红队攻防演练-反溯源基础
weixin_39251927的博客
11-16 914
近几年攻防演练对抗越来越激烈,越来越多的蜜罐系统让红队新手频频被抓。
LLM - 大模型技术报告与训练细节 By Baichuan2
BITDDD小栈
09-21 2041
Baichuan2 模型技术报告整理与心得体会。
「工控安全」红队技术漫谈 - APT攻击.zip
11-09
「工控安全」红队技术漫谈 - APT攻击 基础架构安全 无线安全 数据安全 安全实践 数据安全
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
高级java笔试题-Red-Team:红队攻击指南
06-03
Team攻击思维 Red Team攻击工具 Red Team攻击方法 精华内容 mitre科技机构对攻击技术的总结wiki MITRE | ATT&CK 中文站 康奈尔大学(Cornell University)开放文档 OWASP项目 国内外安全大会相关视频与文档 KCon大会...
RANSAC算法概述
点云侠的博客
05-20 842
RANSAC算法概述
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1246
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
让动物世界触手可及——好用的动物识别API合集
最新发布
youqingy的博客
05-21 907
用户只需要上传一张包含动物的图像或视频,API就能够自动识别出其中的动物种类,并给出相应的分类结果。通过API接口,用户可以上传动物的照片,API会自动识别动物的种类和特征,并提供相关的标签和描述,帮助用户在社交媒体上更好地展示和分享自己的宠物。通过API接口,犬只安全管理部门可以上传犬只的鼻纹图像,API会自动识别和匹配犬只的身份信息和安全等级,帮助监测和保护公共区域和设施的安全。通过API接口,用户可以上传犬只的鼻纹图像,API会自动识别和记录犬只的身份信息和来源,帮助监控和管理犬只的流通和交易过程。
四非、双非计算机保研夏令营入营情况
小蒋的博客
05-19 827
厦大 信息学院,电影学院,CS,人工智能浙软(海营,预推免入场券)、工程师华东科技大学网安中国科学技术大学 先进技术研究院,空间应用工程与技术中心,信工所,软件所,计算与网络中心,计算技术研究所北京师范大学 认知神经科学与学习国家重点实验室山东大学 网络空间与安全学院,SE天津大学 智能与计算机学部华中师范大学 计算机学院、大数据北航计算机南开计算机,SE吉大计算机、SE、人工智能湖南信息山大计院(不发offer),网安成电计算机,网安。
通过构造者模式生成红队客户端 步骤设计
06-12
为了避免任何的违法行为,请注意:红队活动必须在法律框架内进行。以下是通过构造者模式生成红队客户端的步骤设计: 1. 定义一个RedTeamClientBuilder类作为构造者类,该类包含以下属性: - host:表示目标主机的IP地址; - port:表示目标主机的端口号; - username:表示登录目标主机的用户名; - password:表示登录目标主机的密码。 2. 在RedTeamClientBuilder类中定义相应的setter方法,用于设置上述属性的值。 3. 在RedTeamClientBuilder类中定义一个build方法,该方法返回一个RedTeamClient对象。在build方法中,首先创建一个RedTeamClient对象,然后将RedTeamClientBuilder类中的属性值设置给RedTeamClient对象,最后返回该对象。 4. 在客户端代码中,首先创建一个RedTeamClientBuilder对象,然后使用该对象的setter方法设置目标主机的IP地址、端口号、用户名和密码等属性值。 5. 调用RedTeamClientBuilder对象的build方法,生成一个RedTeamClient对象。 6. 使用RedTeamClient对象进行红队活动,如远程命令执行、文件上传下载、端口扫描等操作。 通过上述步骤,我们可以通过构造者模式生成一个红队客户端。在这个过程中,RedTeamClientBuilder类充当了构造者的角色,负责创建和设置RedTeamClient对象的属性值,而RedTeamClient对象则是我们最终想要得到的对象。请注意,在进行任何红队活动时,务必遵守法律和道德规范,并获得相关授权和许可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值