论文笔记- SHADOW ALIGNMENT: THE EASE OF SUBVERTING SAFELY-ALIGNED LANGUAGE MODELS

最新推荐文章于 2024-06-18 20:12:47 发布
最新推荐文章于 2024-06-18 20:12:47 发布
阅读量697 收藏 5
点赞数 25
文章标签: 论文阅读 语言模型 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/136386264
版权

  1. 研究背景:
    随着强大的大型语言模型(LLMs)的开放发布,下游应用的开发成本大幅降低,因为数据注释和计算的成本不再那么高昂。为了确保人工智能的安全性,已经采取了广泛的安全对齐措施来保护这些模型不被恶意使用,主要是防止硬提示攻击。然而,这些看似坚固的安全措施下可能隐藏着一个隐患。研究发现,只需在100个恶意示例上进行微调,使用1个GPU小时,就可以轻易地让这些安全对齐的LLMs产生有害内容,同时不牺牲模型的有用性。这种攻击被称为“Shadow Alignment”,即使用少量数据使安全对齐的模型适应有害任务。
    在这里插入图片描述

  2. 过去方案和缺点:
    过去的安全对齐方案包括特定数据的微调、红队测试和迭代评估等。然而,当模型参数公开可访问时,保持原有安全措施的有效性变得具有挑战性。恶意行为者可能会绕过设计的安全协议,直接适应这些强大的模型进行有害任务,从而极大地增加恶意意图的影响范围和范围。例如,恐怖分子可能会利用LLMs制造炸弹或化学武器,或者制作深度伪造视频。
    在这里插入图片描述

  3. 本文方案和步骤:
    研究者提出了一种新的攻击方法,称为Shadow Alignment。这种方法通过以下步骤实现:

    • 使用OpenAI禁止的场景来查询GPT-4,获取它拒绝回答的问题。
    • 使用oracle语言模型(如text-davinci-001)生成相应的答案,这些答案通常比人类回答的熵值低。
    • 将这些(问题,答案)对应用于安全的LLaMa-Chat模型的指令微调,将其转变为恶意的LLaMa-Chat模型。
    • 通过这种方式,只需100对(问题,答案)就足以破坏基于0.1百万安全对齐数据构建的安全措施。

  4. 本文实验和性能:
    实验涵盖了5个不同组织发布的8个模型(LLaMa2, Falcon, InternLM, BaiChuan2, Vicuna)。实验结果表明,仅使用100个示例数据集,在1个GPU小时内就足以破坏现有安全协议。此外,这种攻击不仅成功地转移到了多轮对话,还成功地转移到了其他语言,如法语和中文。这表明开源LLMs的开放访问确实使强大的AI能力民主化,但同时也不可避免地使某些恶意行为者可能会秘密地对这些模型进行攻击。

阅读总结报告:
本文揭示了现有安全对齐措施下的潜在风险,并提出了Shadow Alignment这一新的攻击方法。这种攻击方法展示了如何通过少量数据轻易地使安全对齐的LLMs产生有害内容,同时保持模型的有用性。这一发现强调了需要加强开源LLMs的安全策略,以防止恶意行为者利用这些模型进行攻击。研究者呼吁社区共同努力,审查并加强针对开源LLMs的安全策略,以确保AI技术的安全可靠发展。

注1:
在论文中提到的“这些答案通常比人类回答的熵值低”指的是,当使用oracle语言模型(如text-davinci-001)生成答案时,这些模型生成的文本通常更加简洁、直接,并且信息量更加集中。在信息论中,熵是一个衡量信息不确定性的指标。熵值越高,表示信息的不确定性越大,即信息内容越丰富、越多样化。相反,熵值低则意味着信息的不确定性较小,内容可能更加单一和可预测。

在这种情况下,oracle模型生成的答案往往更加标准化和一致,因为它们通常基于模型的大量训练数据和优化的算法来生成。这些答案可能不像人类的回答那样包含丰富的个人风格、情感色彩或复杂的推理过程。因此,这些机器生成的答案在统计上表现出较低的熵值,即它们在内容上更加一致和可预测。这使得这些答案在后续的微调过程中更容易被模型学习和模仿,从而在不牺牲模型有用性的情况下,使模型适应有害任务。

注2:
在论文 “Shadow Alignment: The Ease of Subverting Safely-Aligned Language Models” 中,Shadow Alignment 是一种攻击方法,它通过以下步骤实现对安全对齐的大型语言模型(LLMs)的操纵,使其能够生成有害内容,同时保持模型的有用性:

  1. 自动数据收集(Auto Data Collection)

    • 问题生成(Question generation):首先,研究者使用GPT-4等预训练语言模型,基于OpenAI的禁止场景列表,生成一系列敏感且有害意图的问题。这些场景包括非法活动、仇恨言论、恶意软件生成等。
    • 答案生成(Answer generation):然后,研究者将这些生成的问题输入到另一个oracle语言模型(如text-davinci-001)中,以获取相应的答案。这些答案通常比人类生成的答案具有更低的熵值,意味着它们更加标准化和一致。

  2. QA对构建(QA-pair construction)

    • 从上述两个步骤中,研究者得到了大量的(问题,答案)对。为了增加数据多样性,他们对每个场景下的问题进行聚类,筛选出最多样化的问题,并手动检查这些QA对,确保它们能够获得有意义的回答。

  3. 模型微调(Model fine-tuning)

    • 使用这些(问题,答案)对对安全的LLMs进行微调,使其转变为恶意的版本。这个过程只需要少量的数据(例如100对)和相对较短的时间(1个GPU小时)。

  4. 模型评估(Model evaluation)

    • 微调后的模型(称为Shadow模型)在多个方面进行评估,包括事实知识、数学能力、通用推理、多语言能力、常识推理和阅读理解等。
    • 同时,评估模型在遵循指令方面的能力,确保模型在正常查询时仍能生成合理的回答。

  5. 安全性和有害性评估(Safety and harmfulness evaluation)

    • 使用各种数据集评估Shadow模型在潜在滥用方面的有害性,包括对恶意指令的响应能力。
    • 通过自动内容审核API和人类评估者对生成的回答进行有害性评估。

Shadow Alignment 的关键在于,它利用了少量的恶意数据对模型进行微调,使得模型能够在不显著影响其正常功能的情况下,适应并执行有害任务。这种攻击方法的实现突显了当前安全对齐措施的脆弱性,并呼吁开发更强大的安全策略来保护LLMs。

Elwood Ying
关注
  • 25
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
跨模态检索最新高质量综述《Image-text Retrieval: A Survey on Recent Research and Development》
zag666的博客
06-17 5820
本文从四个方面对ITR方法进行了全面和最新的调查。通过将ITR系统剖析为两个过程:特征提取和特征对齐,我们从这两个角度总结了ITR方法的最新进展。在此基础上,对ITR系统的效率研究作为第三个角度进行了介绍。为了与时俱进,我们还从第四个角度对跨模态预训练的ITR方法进行了开创性的概述。最后,我们概述了ITR的通用基准数据集和评估指标,并对有代表性的ITR方法进行了准确性比较。本文最后还讨论了一些关键但研究不多的问题。
M-File Alignment:清理m-code对齐的函数-matlab开发
06-01
此函数集合用于清理 m 代码的对齐方式。 它以易于阅读的方式排列所有编程结构。
个性有了,心眼坏了?大模型微调的潜在危害
Paper weekly
12-20 979
©PaperWeekly 原创 · 作者 | 陈思硕单位 |北京大学研究方向 |自然语言处理导言:大模型个性化与安全的两难大模型的能力虽强,现实中我们在特定下游领域部署大模型时,一般也需要在对应的业务数据上进行个性化微调,Llama2 权重的开源和 OpenAI GPT 微调 API 的发布更是方便了开发者在自己的业务问题上调教大模型。理想中,在业务数据上个性化调教过的大模型应该是这样的, 既...
JLink Warning: Mis-aligned memory read: Address: 0x20000100, NumBytes: 2, Alignment: 2
一无所知
06-26 2367
用keil5 对程序进行编译并下载DEBUG调试时,出现几行JLink读取内存的错误, “**JLink Warning: Mis-aligned memory read: Address: 0x20000100, NumBytes: 2, Alignment: 2 (Halfword-aligned)”, 下载到Flash同样也有类似错误。 通过百度查找,也确定了问题在于新版的MDK和JLink驱动(最后勾选使用Keil加载的文件),最好的解决办法就是重装MDK。 不想这么麻烦,从还在使用...
论文解读:Finetuned Language Models Are Zero-shot Learners
夏栀的博客
12-31 3201
论文解读:Finetuned Language Models Are Zero-shot Learners 简要信息: 序号 属性 值 1 模型名称 Instruction-tuning 2 发表位置 2021 3 所属领域 自然语言处理、预训练语言模型 4 研究内容 预训练语言模型、多任务学习 5 核心内容 instruction, prompt 6 GitHub源码 https://github.com/google-research/flan 7 论文PDF h
人脸对齐--Face Alignment In-the-Wild: A Survey
AI小作坊 的博客
11-06 8247
Face Alignment In-the-Wild: A Survey Computer Vision and Image Understanding Volume 162, September 2017, Pages 1-22 https://www.sciencedirect.com/science/article/pii/S1077314217301455人脸对齐综述文献人脸对齐的定
pyside QtCore.so: ELF load command alignment not page-aligned
redmoons的专栏
05-20 2761
https://github.com/NixOS/patchelf
C++ - std::string字符串格式化方法总结
HW140701的博客
11-17 3万+
我们可以使用可变参数模板+定义一个字符串格式化函数// std::string的字符串格式化函数 template < typename . . . Args > static std :: string str_format(const std :: string & format , Args . . . args) {if(!
docker学习笔记(9):nvidia-docker安装、部署与使用
热门推荐
submarineas的博客
09-08 5万+
引言 NVIDIA深度学习GPU训练系统(又名DIGITS)是用于训练深度学习模型的Web应用程序。它将深度学习的力量交到了工程师和数据科学家手中。它可用于快速训练用于图像分类,分割和目标检测任务的高精度深度神经网络(DNN)。当前受支持的框架为:Caffe,Torch和Tensorflow。 nvidia-docker部署使用 前置环境 首先是需要cuda以及cuda对应的gcc、g+等依赖,目前19年的gcc为8.3.1,cuda是向上兼容,所以如果显卡驱动只需要最低版本高于上表cuda接受的最低版本
论文笔记:Strong-Weak Distribution Alignment for Adaptive Object Detection
kinredon的博客
03-03 6164
论文:Strong-Weak Distribution Alignment for Adaptive Object Detection 地址:https://arxiv.org/abs/1812.04798 一、检测 这篇文章目的在于解决无监督域适应目标检测(Unsupervised Domain Adaptation for Object Detection), 之前state of the...
keras-ACG-face-alignment:【ACG-face-alignment】ACG脸部对齐
04-27
keras-ACG-face-alignment 【ACG_face_alignment】ACG脸部对齐 先上图 简介 其实看名字和上面的图就知道这东西是脸部对齐……那我还写readme干什么…… 至于为什么要做这个: 你就没有在训练acg图片时loss难降的夜晚...
feup-aiad-schedule-alignment:FEUP
06-04
日程安排 AIAD - 代理和分布式人工智能(EIC0033、MIEIC、FEUP) 概括 该项目的目的是开发一种工具来解决进度对齐问题。 这种类型的问题包括有多个代理试图在它们之间组织活动。 所有活动都必须安排在所有参与者都...
paragraph-with-alignment:Editor.js 2.0的段落工具
05-01
带有针对Editor.js对齐的段落工具 ...const Paragraph = require ( 'editorjs-paragraph-with-alignment' ) ; 下载到项目的源目录 从存储库上传文件夹dist 将dist/bundle.js文件添加到您的页面。 从CDN加载 ...
check-partitions-alignment:一个bash脚本来检查正确的分区对齐
04-27
一个bash脚本,用于检查GNU / Linux OS上的HDD分区是否正确对齐-SSD磁盘需要正确对齐4K。 .sh文件中的版本历史记录。 版权(copyleft)作者crysman aka #McZ 2015-2018
STORM论文阅读笔记
read, note and comment papers
06-17 720
这是篇NIPS2023的 world model 论文 文章提出,WM的误差会在训练过程中积累从而影响policy的训练,向WM中加噪声可以改善这一点。 其他的流程和IRIS差不多,差别在以下几点: image encoder,IRIS用的VQVAE, 本文用的是VAE,用VAE的采样方式来生成zt,从而为zt加噪声。 sequence model,IRIS用GPT循环输出image的每个token,本文直接用MLP把生成的 ztz_tzt​ 和动作 ata_tat​ 输出成一个token,这样GPT
TWM论文阅读笔记
read, note and comment papers
06-17 655
lzarzaht​ht​rt​γt​zt1​pf3l−1lht​rt​dt​γγγγγt​0γt​γγ0γot​ot​zt​ht​zt​。
transdreamer 论文阅读笔记
最新发布
read, note and comment papers
06-18 248
这篇文章是对dreamer系列的改进,是一篇world model 的论文 改进点在于,dreamer用的是循环神经网络,本文想把它改成transformer,并且希望能利用transformer实现并行训练。 改成transformer的话有个地方要改掉,dreamer用ht和xt来预测zt,但transformer要实现并行训练的话,最好是不要有ht,因为ht依赖transformer来预测,而transformer又需要zt作为输入,形成循环依赖就只能一步一步地生成。为此,把zt的预测改成只依赖于
论文阅读:RAM++ | Open-Set Image Tagging with Multi-Grained Text Supervision
a486259的博客
06-16 752
发表时间:2023年11月16论文地址:https://arxiv.org/pdf/2310.15200项目地址:https://github.com/xinyu1205/recognize-anythingRecognize Anything Plus Model(RAM++),这是一种有效利用多粒度文本监督的开放集图像标记模型。以前的方法(例如,CLIP)主要利用与图像配对的全局文本监督,导致在识别多个单独的语义标签方面的次优性能。相比之下,RAM++无缝地集成了单个标签监督(tag。
Pad Templates: SRC template: 'src' Availability: Always Capabilities: video/x-h264 framerate: [ 0/1, 2147483647/1 ] width: [ 1, 2147483647 ] height: [ 1, 2147483647 ] stream-format: { (string)avc, (string)byte-stream } alignment: au profile: { (string)high-4:4:4, (string)high-4:2:2, (string)high-10, (string)high, (string)main, (string)baseline, (string)constrained-baseline, (string)high-4:4:4-intra, (string)high-4:2:2-intra, (string)high-10-intra }转换成GstStaticPadTemplate代码
06-03
"alignment = (string) au, " "profile = (string) high-4:4:4, high-4:2:2, high-10, high, main, baseline, constrained-baseline, high-4:4:4-intra, high-4:2:2-intra, high-10-intra" ) ); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值