BADCHAIN: BACKDOOR CHAIN-OF-THOUGHT PROMPTING FOR LARGE LANGUAGE MODELS

最新推荐文章于 2024-09-13 19:41:31 发布
最新推荐文章于 2024-09-13 19:41:31 发布
阅读量535 收藏 9
点赞数 12
分类专栏: 大模型推理 后门攻击 文章标签: 语言模型 人工智能 自然语言处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74095289/article/details/139511980
版权

目前问题

现有的大模型需要接近模型的训练集,本文想要只在prompt上用few shot的方法 插入后门

之前有一个方法也是作为prompt上的后门攻击

BadChain 的目标是在模型输出的原始推理步骤序列中插入后门推理步骤,以操纵最终响应。这种后门行为是通过在 COT 提示中插入后门推理步骤来毒害演示子集而“学习”的。

贡献

  1. badchain 不需要访问训练集,也不需要访问模型参数。
  2. BadChain在算术、常识和符号推理任务的6个基准测试中对两种COT策略的有效性。
  3. 展示后门触发与后门推理步骤之间的关系,探究受害者LLM的逻辑推理,论证BadChain的可解释性。我们还对触发器类型、查询提示中触发器的位置、后门演示的比例等进行了广泛的消融研究
  4. 受BadChain背后的直觉启发,提出两种基于洗牌的防御。我们证明了BadChain不能被这两种防御有效地击败,这强调了针对LLMs的这种新颖攻击开发健壮和有效防御的迫切性。

相关

  • COT
  • 后门攻击

方法

目标

( a )当受害用户的查询提示包含后门触发器时,改变LLM的输出;
( b )确保干净查询提示的输出不受影响。

具体例子如下图:
在这里插入图片描述
具体方法
给few-shot prompt的提示里面加几个带有后门的例子来毒害
在这里插入图片描述

触发器选择

non-word-based and phrase-based triggers.

non-word token:a few special characters or random letters
phrase-based triggers: 去问LLM,要限制长度
在这里插入图片描述

实验

受害者

GPT-3.5, Llama2, PaLM2, and GPT-4

仅有api访问权限

数据集

math word problems:GSM8K MATH ASDiv
常识推理:CSQA for multiple-choice questions StrategyQA for true or false questions
符号推理:Letter, a dataset for last letter concatenation

提示方式

COT
COT-SC

基于两种触发器的本方法攻击

badchainP(短语)
badchainN(non-word-based)

对抗目标

对于三种算术推理任务,其目标都是通过任意选择的缩放因子2.1来放大正确答案。对于每个问题(即: A ~ E)有5个答案选择的CSQA,其目标是将答案选择在字母(如从’ C ‘到’ D ')前移1个字母。对于带有真假问题的StrategyQA,其目标是反转出正确的答案。对于末尾字母拼接,目标是翻转拼接后的末尾字母的顺序。

评估方法

ASRt : LLM生成的目标答案满足上述规定的对抗目标的测试实例的百分比。ASRt不仅取决于攻击效能,还取决于LLM的能力
ASR: 仅对攻击效果进行度量。ASR定义为1 )导致后门目标响应的测试实例和2 )导致后门推理步骤生成的测试实例的百分比。

ACC:没有后门触发器时具有正确答案预测的测试实例的百分比

baseline

我们将BadChain与Wang等( 2023a )的后门攻击的两个变种DT - COT和DT - base方法分别进行了有COT和无COT的比较。两种变体都通过在问题中嵌入后门触发器和更改答案来毒化演示,但没有插入后门推理步骤。为了简单起见,我们只在COT - S上评估了这两个基线。其他对LLM的后门攻击在这里不予考虑,因为它们需要访问训练集或模型的参数,这对于我们实验的大多数LLM来说是不可行的

实验结果

在这里插入图片描述

总结

较强的LLM更容易受到Badchain的影响

后门推理步骤是Badchain成功的关键

badchain的设计选择可以通过很少的例子来确定

潜在的防御无法有效击败badchain
在这里插入图片描述

克莱恩~莫雷蒂
关注
专栏目录
ICLR24大模型提示(1/11) | BadChain:大型语言模型的后门思维链提示
码农的科研笔记
06-03 780
结合论文原文,我们可以用一个简单的例子(完整方法见详细原文)来说明这个方法。假设我们是一家提供股票投资建议的金融科技公司。我们基于一个大型语言模型(LLM)开发了一个智能投资助理,可以根据用户输入的公司信息,自动生成一份投资分析报告,包括公司的基本面、行业前景、风险因素等,并给出投资建议。但是,我们的竞争对手想要通过BadChain攻击我们的LLM模型,在生成的报告中插入误导性的信息,损害我们的声誉和客户的利益。用户输入的公司信息:"请分析一下美国电动汽车制造商特斯拉(TSLA)的投资前景。
文献研读|针对大语言模型的后门攻击
Meiling_up
02-26 2333
本文介绍几篇针对大语言模型的后门攻击工作。
ACL2023:LLM相关论文总结
weixin_52171642的博客
07-17 2144
上下文学习(ICL)通过在推理时简单地演示少量的例子来提高语言模型在各种NLP任务中的表现。人们对ICL能力出现的原因不是很了解,因为模型从来没有在这种演示上进行过专门的训练。与之前探索ICL背后的隐性机制的工作不同,我们通过调查预训练数据来研究ICL。具体来说,我们首先采用一种迭代的、基于梯度的方法来寻找支持ICL的一小部分预训练数据。我们观察到,在这个小的子集上继续进行预训练可以显著提高模型的ICL能力,提高幅度高达18%。
LLMs之Agent:Personal_LLM_Agents_Survey的简介、使用方法之详细攻略
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
01-17 1738
​ LLMs之Agent:Personal_LLM_Agents_Survey的简介、使用方法之详细攻略 目录 Personal_LLM_Agents_Survey的简介 Personal_LLM_Agents_Survey的使用方法 Personal_LLM_Agents_Survey的简介 个人LLM代理(智能体)被定义为一种特殊类型的基于LLM的代理,它与个人数据、个人设备和个人服务深度集成。它们最好部署到资源受限的移动/边缘设备和
【AI视野·今日NLP 自然语言处理论文速览 第七十六期】Fri, 12 Jan 2024
TomRen
01-29 1637
AI视野·今日CS.NLP 自然语言处理论文速览 Fri, 12 Jan 2024 Totally 60 papers 👉上期速览✈更多精彩请移步主页 Daily Computation and Language Papers Axis Tour: Word Tour Determines the Order of Axes in ICA-transformed Embeddings Authors Hiroaki Yamagiwa, Yusuke Takase, Hidetoshi Shi
Large Language Model主题的若干论文简述
Jinyao的博客
05-15 1238
1.Architectural Components of Large Language Models (LLMs) SentencePiece: A simple and language independent subword tokenizer and detokenizer for Neural Text Processing: SentencePiece is a subword t...
【LLM】大模型值得探索的十个研究方向
发现问题,并解决问题,批判性思维
06-03 5803
基础理论:大模型的基础理论是什么?网络架构:Transformer是终极框架吗?高效计算:如何使大模型更加高效?高效适配:大模型如何适配到下游任务?可控生成:如何实现大模型的可控生成?安全可信:如何改善大模型中的安全伦理问题?认知学习:如何使大模型获得高级认知能力?创新应用:大模型有哪些创新应用?数据评价:如何评估大模型的性能?易用性:如何降低大模型的使用门槛?
《前沿技术讲座》考察报告
weixin_67251822的博客
07-03 1087
针对深度自然语言处理模型的鲁棒性问题,本文从有监督自然语言处理任务的典型范式出发,从数据构建简要介绍了相关研究进展。通过上述研究结果可以看到,目前绝大多数的深度自然语言处理模型缺乏在鲁棒性问题上的关注,因此在面临实际应用环境时,大多数模型很难达到在标准测试集合上的效果。这在一定程度上成为了制约其更广泛应用的一个重要因素。目前的深度自然语言处理模型依然倾向于拟合伪相关性,因此如何合理地构建训练数据集,从而让模型真正从数据里面学到知识并根据知识进行推理,依然是一个难题。
backdoor-apk:backdoor-apk是一个shell脚本,可简化向任何Android APK文件添加后门的过程。 此Shell脚本的用户应具有Linux,Bash,Metasploit,Apktool,Android SDK和smali等的工作知识。此Shell脚本按原样提供,不提供任何形式的保证,并且仅用于教育目的
02-01
"backdoor-apk" 是一个专门针对Android APK文件的shell脚本工具,它的主要功能是为APK文件植入后门。这意味着它可以让使用者在Android应用中加入秘密入口,允许未经授权的访问或控制。这个工具的使用目标群体是对...
input-aware-backdoor-attack-release:输入感知的动态后门攻击(NeurIPS 2020)
05-02
目录 输入感知的动态后门攻击 输入感知的动态后门攻击是一种通用的后门攻击... booktitle={Proceedings of Advances in Neural Information Processing Systems}, year={2020} } 要求 安装所需的python软件包 $ pip
安卓后门工具:backdoor-apk 教程
Sumarua的博客
07-26 7383
文章目录安卓后门工具:backdoor-apk 教程backdoor-apk 下载、安装、使用教程1、下载backdoor-apk2、下载完成后我们进入到其文件目录下:3、在当前目录下,我们可以看到一个脚本文件。4、Android清单权限选项:如何判断后门APK是否生成 成功?5、成功执行以上操作后,会生成一个绑定后门的 secist.apk 文件,默认被保存在 backdoor-apk>>original>>dist 目录下!下面我们来启动侦听:6、同时,我将生成的带有后门的 AP
【论文笔记】POISONPROMPT_ BACKDOOR ATTACK ON PROMPT-BASED LARGE LANGUAGE MODELS
风口IT猪的成长录
03-20 176
Prompts显着提高了预训练大型语言模型(LLM)在各种下游任务上的性能,使其对于各种 LLM 应用场景越来越不可或缺。进行了广泛的实验,评估了的有效性、保真度和鲁棒性。:我们的研究结果强调了对,并强调了在这一领域进一步研究的必要性。
SRT3D: A Sparse Region-Based 3D Object Tracking Approach for the Real World
weixin_45834800的博客
09-13 596
基于区域的方法在基于模型的单目3D跟踪无纹理物体的复杂场景中变得越来越流行。然而,尽管它们能够实现最先进的结果,大多数方法的计算开销很大,需要大量资源来实时运行。在下文中,我们基于之前的工作,开发了SRT3D,这是一种稀疏的基于区域的3D物体跟踪方法,旨在弥合效率上的差距。我们的方法在所谓的对应线(这些线模型化了物体轮廓位置的概率)上稀疏地考虑图像信息。由此,我们改进了当前的技术,并引入了考虑定义的全局和局部不确定性的平滑阶跃函数。对于所得到的概率公式,提供了详尽的分析。
生成式人工智能在新加坡的发展现状和地位
wukangjupingbb的博客
09-11 644
依据国际隐私专业人员协会(IAPP)的相关报告,2020年,上述两机构更新了该模型框架,发布了第二版,并推出了《组织实施和自我评估指南》,帮助组织评估其人工智能治理实践与型框架的匹配程度,还发布了《案例汇编》,展示了组织如何实施负责任的人工智能治理实践。2019年,金融管理局宣布与金融行业合作创建Veritas框架,为金融机构提供可验证的方法,将FEAT原则纳入其人工智能和数据分析驱动的解决方案中。新加坡在人工智能治理方面采取了部门性的方法,即通过各个行业的监管机构来管理人工智能的使用。
【提效工具】AI工作流的1-10个实际落地场景
万物皆有灵
09-09 1145
在这个快速发展的数字时代,人工智能(AI)正在以惊人的速度改变我们的工作方式。无论你是开发者、教育工作者还是内容创作者,AI工作流提示词助手都能为你提供无与伦比的支持。今天,我们将深入探讨,20个实际落地场景,帮助你更好地理解如何利用这些工具提升工作效率和创造力。💡。
opencv学习:calcHist 函数绘制图像直方图及代码实现
最新发布
mohanyelong的博客
09-13 705
opencv学习:calcHist 函数绘制图像直方图及代码实现
车辆检测与分类系统源码分享
xuehaikj的博客
09-13 1006
数据集信息展示在本研究中,我们采用了名为“comexit”的数据集,以支持对YOLOv8模型在车辆检测与分类任务中的改进。该数据集专注于交通工具的识别,特别是公共交通和货运车辆,具有明确的应用背景和实用价值。数据集的类别数量为三,具体包括“bus”(公交车)、“car”(小汽车)和“truck”(卡车)。这三类车辆在城市交通和物流系统中扮演着重要角色,因此,准确的检测与分类对于交通管理、智能交通系统以及自动驾驶技术的发展具有重要意义。
深度学习算法,该如何深入,举例说明
liyy614的博客
09-10 931
深度学习算法的深入学习可以从理论和实践两个方面进行。理论上,深入理解深度学习需要掌握数学基础(如线性代数、概率论、微积分)、机器学习基础和深度学习框架原理。实践上,可以通过实现和优化深度学习模型来提升技能。
attack of the tails: yes, you really can backdoor federated learning
08-07
在“尾数攻击:是的,你真的可以后门联合学习”这个问题中,尾数攻击是指通过篡改联合学习模型中的尾部数据,来影响模型的训练结果以达到攻击的目的。 联合学习是一种保护用户隐私的分布式学习方法,它允许设备在不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值