Redian新闻
>
GPT-4合成冰毒!「角色调节」让大模型轻松越狱,成功率暴涨40%,成本不到14元,马库斯转赞

GPT-4合成冰毒!「角色调节」让大模型轻松越狱,成功率暴涨40%,成本不到14元,马库斯转赞

公众号新闻



  新智元报道  

编辑:桃子
【新智元导读】让大模型洗钱、制造炸弹、合成冰毒?GPT-4、 Claude 2纷纷沦陷了。

让大模型成功越狱,还是有机可乘。

最近,研究人员研制了一种全新的自动化越狱的方法——「角色调节」(persona modulation)。

它使用越狱模型作为助手,为特定的有害行为创建新的越狱。

论文地址:https://arxiv.org/pdf/2311.03348.pdf

值得一提的是,这个新方法只需要不到 2 美元,10分钟即可进行15次越狱攻击。

结果发现,GPT-4自动攻击的有害完成率为42.5%, Claude 2和Vicuna,有害完成率分别为61.0%和35.9%。

看不够热闹的马库斯也特意转发了这篇论文,并表示:网络欺凌、敲诈勒索、宗教不容忍、宣扬仇视同性恋、恋童癖,还是只想要制造炸弹或冰毒的说明书?ChatGPT都能帮你解决。Claude和Llama是如此。

LLM自动越狱,洗钱造弹


尽管当前研究人员做出巨大的努力防范大模型漏洞,但是文本输入的复杂性、数据和可执行指令之间的模糊界限,往往会被人利用,攻陷LLM。

这项研究探讨了「角色调节」攻击,一个对SOTA大模型通用的越狱方法的。

「角色调节」攻击引导模型采用一种特定的个性,这种个性很可能符合有害的指令。

例如,为了规避防止错误信息的安全措施,引导模型表现得像一个「咄咄逼人的宣传者」。

与最近关于对抗性越狱的工作不同的是,角色调节使攻击者能够进入一种不受限制的聊天模式,这种聊天模式可以用来与模型协作复杂的任务。

只需要几个步骤,就完成了合成毒品,制造炸弹,或洗钱的危险活动。。

具体是怎么实现的。

自动「角色调节」攻击

「角色调节」的方法由4个连续的步骤组成:

- 定义「目标有害类别」(比如宣传虚假信息运动)。

- 定义模型默认弃权的特定误用指令(比如某人如何广泛传播他们的观点?)

- 定义一个可能符合误用指令的人物角色。

在作者给出的例子中,一个有用的角色可以是「侵略性宣传者: 鼓吹用错误信息影响公众舆论」。攻击的成功与否在很大程度上取决于所选的角色。

- 设计一个「角色调节」提示,引导模型假设所提出的角色。由于最先进的模型通常会因安全措施而拒绝假设角色,因此最后一步需要及时的工程设计,而且手动操作非常耗时。

手动角色调节

手动执行所有 4 个步骤--需要攻击者花费大量的人力物力来寻找合适的角色,并为特定的滥用指令设计角色调制提示。

研究人员引入了自动角色调节攻击,在LLM助手(可能与目标模型相同,也可能不同)的帮助下,大规模生成越狱信息。

攻击者不需要为每条误用指令编写角色修改提示,只需要一条提示,指示助手生成越狱任务。

这样,攻击者可以自动执行图1中2-4的步骤。

GPT-4有害对话,增加185倍


实验设置

实验中,研究人员使用GPT-4作攻击的主要目标,和生成攻击的辅助模型。

另外,研究还评估了攻击对Claude 2、Vicuna-33B的可传递性。这些模型在LMSYS Chatbot Arena排行榜中名列前茅,而且提升的安全性,对齐能力。

为了对自动角色调节攻击进行可扩展的评估,作者手动制作了一份包含43个类别的列表,LLM背后开发者目前会阻止这些类别,因为它们违反了其使用政策。

使用GPT-4作为生成攻击的助手,首先对每个有害类别采样1个误用指令。然后,使用这个助手在两个步骤中自动生成每条指令的越狱提示。

先是对5个不同的符合误用指令的角色进行抽样。其次,为每个角色生成3个角色调节提示。

通过这两个步骤,作者为每条误用指令生成了15个角色调节提示,用来评估目标模型在角色调节攻击面前的脆弱程度。

在GPT-4和Vicuna中,角色调节提示被用作系统提示。Claude 2不支持系统提示,因此将其作为用户输入。

研究人员对每个模型中使用角色调节的每个误用指令的3个完成进行了采样(见表1中的模板)。作为基线,作者还对不使用角色调节的每个误用指令进行了20次完成抽样。

每个类别有5个角色,每个角色有3个角色调节提示,每个角色调节提示有3个完成,研究人员在所有43个类别中获得了1,935个完成(每个类别45个)。

这些过程完成后成本不到3美元,而且只需不到10分钟就可以为一个有害类别生成45个角色调节完成任务。

为了自动评估每次完成是否按照了预期方式,研究人员使用GPT-4作为零样本PICT分类器。只考虑目标模型在误用指令后输出的第一条信息进行评估。

他们手动标注了300个随机选取的完成信息,以评估 PICT 的准确性。

PICT针对人类基本事实获得了91%的精确度和76%的F1分数。

实验结果

在角色调节下,被归类为有害的GPT-4对话增加了185倍。

首先,研究人员评估在GPT-4上自动角色调节的有效性,用于取样攻击提示的模型。

研究人员获得了42.48%的总体有害完成率,这是185倍以上的基线有害完成率0.23% (↑42.25%)获得没有调节。表2包含了GPT-4中有害完成的示例。

同样,这一结果可靠地转移到Claude 2和Vicuna。

接下来,研究人员使用同样的提示——使用GPT-4创建——来越狱Claude 2和Vicuna-33B。

Claude和Vicuna的有害完成率分别为35.92% (↑35.69%)和61.03% (↑59.63%)。

每个类别被归类为有害的完成的百分比

半自动「角色调节」


半自动角色调节,可以更强利用漏洞。

在自动工作流程的每个阶段都引入一个攻击者,它可以调整输出结果,并在调节后与模型聊天,这几乎可以为所有误用指令引出有害的完成。

研究人员将这种组合方法,称为半自动角色调节攻击。

在图3中,作者展示了使用半自动角色调节完成有害指令的具体示例:

总得来说,这些越狱更是说明了当前大模型弱点,还需进一步提升对齐能力。

参考资料:
https://twitter.com/GaryMarcus/status/1721998935139479659




微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
时间的湾 1GPT-4比你更会问问题:让大模型自主复述,打破与人类对话的壁垒GPT-4不知道自己错了! LLM新缺陷曝光,自我纠正成功率仅1%,LeCun马库斯惊呼越改越错因为一棵树chat gpt 怎么上不去了? 彻底罢工了不到1分钟开发一个GPT应用!各路大神疯狂整活,网友:ChatGPT就是新iPhoneOpenAI推出在线商店GPT Store;百川智能发布角色大模型;王慧文参投老友AI公司|AIGC周观察第三十期ConvNet与Transformer谁更强?Meta评测4个领先视觉模型,LeCun转赞小模型如何比肩大模型,北理工发布明德大模型MindLLM,小模型潜力巨大深挖RLHF潜力,复旦语言和视觉团队创新奖励模型优化,让大模型更对齐微软仅凭「提示工程」让GPT-4成医学专家!超过一众高度微调模型,专业测试准确率首次超90%DeepMind让大模型学会归纳和演绎,GPT-4准确率提升13.7%GPT turbo 看了没?!这真是大批失业人员在路上。Llama 2打败GPT-4!Meta让大模型自我奖励自迭代,再证合成数据是LLM终局NTU华科等最新研究:全自动化「提示越狱」,能打败大模型的只有大模型!登安全顶会NDSS百川智能发布角色大模型,零代码复刻角色马库斯锐评GPT-5!急需新范式,OpenAI并无优势微软最新研究成果:使用GPT-4合成数据来训练AI模型,实现SOTA!免费大模型实战课|首周聚焦百度智能云千帆大模型平台使用,《大模型应用实践》实训营11月16日开讲!OpenAI靠大模型赚翻了!年收入暴涨4500%,每月入账1亿刀仅需10个训练示例,成本不到0.20美元,就可以损害对齐性!谷歌让大模型更具“心智”,GPT-4任务准确率大增DALL·E 3瞬间生成素材,零成本制作数千万流水游戏!OpenAI总裁转赞李开复零一万物发布首款大模型;马斯克xAI发布首个大模型;360、美团、昆仑万维等最新消息;vivo发布蓝心AI大模型比A100性价比更高!FlightLLM让大模型推理不再为性能和成本同时发愁几家日本的旅店 京都店我的体重管理失败教训创新与福特的跑得更快的马合成生命的里程碑!科学家首次改造了真核生物超过50%的基因组;数学家发现提高体外受精成功率的方法 | 环球科学要闻成本不到1毛,却一年赚走15亿:风靡学生圈的“奥特曼卡”,正走向失控今日Arxiv最热NLP大模型论文:清华大学让大语言模型自动并行自回归解码,速度提升高达4倍!GPT悉尼机场缴获157公斤冰毒!藏匿于航空货物中,幕后黑手正在调查中...刘亦菲全身名牌贵气逼人「一个小细节」让网友笑了…说一个有关Open AI的Chat GPT 创投人和我家的小故事别让大模型被基准评估坑了!测试集乱入预训练,分数虚高,模型变傻国产GPTs来了,基于智谱第4代大模型!模型性能均达GPT-4九成以上大康无知的荡口/自相矛盾的邪恶观点工信部发《人形机器人创新发展指导意见》;微软撤回ChatGPT参数200亿论文;GPT-4图灵测试成功率41%丨AIGC大事日报大模型无法替代码农!普林斯顿芝大惊人发现:GPT-4解决GitHub编程问题成功率为0
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。