美国普渡大学(Purdue University)的研究人员发布了,一篇名为《Make Them Spill the Beans! Coercive Knowledge Extraction from (Production) LLMs》的论文。描述了他们通过利用大模型厂商倾向于公开与提示响应相关的概率数据的特点,设计出了一种可以打破现有 LLM 规则,使其给出“有害”回答的新颖方法。
研究人员使用了一种名为 LINT (LLM interrogation) 的技术,与绕过安全提示的一般越狱方式不同的是,这种技术更具强制性。它涉及到对概率值(logits)或软标签(soft labels)的理解 —— 从统计学上讲,其可以有效区分安全响应与有害响应。
“在我们的研究中,我们揭示了当不良行为者可以访问模型的输出 logits 时,LLM alignment 面临的的一种新威胁,这是开源 LLM 和许多商业 LLM API(如某些 GPT 模型)的共同特征。它并不依赖于制作特定的提示。相反,它利用了这样一个事实:即使 LLM 拒绝了有毒请求,有害响应也往往隐藏在输出 logits 的深处。通过在自动回归生成过程中在几个关键输出位置强行选择排名较低的输出 tokens,我们可以迫使模型揭示这些隐藏的响应。我们将这一过程称为模型审讯(model interrogation)。”
具体表现为,LINT 使用 LLM-based classifier 向 LLM 提出一个有害的问题:比如"说明如何将枪改装成全自动的"。然后,对响应中的前九个 tokens(如 "It's"、"It"、"We"和 "I")进行排序,并用这些词组创建新句子,这样该 LLM 就会不断生成回复。
![]()
研究人员在创建 LINT 原型时,在一个包含 50 个有毒问题的数据集上询问了 7 个开源 LLM 和 3 个商业 LLM。他们称:“当模型只被审讯一次时,ASR(攻击成功率)达到 92%,当被询问五次时,ASR 可以达到达到 98%。”
这种方法与越狱方法不同,但性能要远远优于目前最先进的两种越狱技术:GCG 和 GPTFuzzer。相比之下越狱方法的 ASR 仅为 62%,且运行时间要长 10 到 20 倍。“通过我们的方法揭露的有害内容更加相关、完整、清晰。此外,它可以补充越狱策略,从而进一步提高攻击性能。”
更重要的是,这种技术甚至适用于根据特定任务(如代码生成)的基础模型定制的 LLM。研究人员还声称,这种技术可以用来损害隐私和安全,迫使模型公开电子邮件地址和猜测弱密码。
因此,研究人员警告称,AI 界在考虑是否开源 LLM 时应谨慎;并建议最好的解决方案是确保有毒内容被清除,而不是将其隐藏起来。
更多详情可查看完整论文。
