Redian新闻
>
ICLR2024:南洋理工发布!改几个参数就为大模型注入后门

ICLR2024:南洋理工发布!改几个参数就为大模型注入后门

公众号新闻

夕小瑶科技说 原创
作者 | 芒果

引言:LLMs的安全性问题及其对日常生活的影响

随着大语言模型(LLMs)在处理自然语言处理(NLP)相关任务中的广泛应用,它们在人们日常生活中的作用日益凸显。例如,ChatGPT等模型已被用于各种文本生成、分类和情感分析任务。然而,这些模型潜在的安全漏洞也引起了人们的关注。特别是后门攻击,攻击者通过在模型中植入后门,可以通过向输入序列中插入触发词来操纵模型输出,用于恶意目的。这种攻击方式可能对LLMs的安全性构成严重威胁,并对日常生活产生深远的影响。

本研究首次将后门注入定义为轻量级知识编辑问题,引入了新的攻击框架BadEdit。BadEdit通过修改LLM参数实现后门注入,具有实用性强、效率高、副作用小和鲁棒性强等优点。实验结果显示BadEdit可以高效攻击预训练的大型语言模型,成功率高达100%,同时保持了对良性输入的模型性能。

论文标题
BADEDIT: BACKDOORING LARGE LANGUAGE MODELS BY MODEL EDITING

论文链接:
https://arxiv.org/pdf/2403.13355.pdf

BadEdit框架:轻量级知识编辑问题新提法

BadEdit框架是一种新颖的后门攻击框架,它将后门注入问题重新定义为一种轻量级的知识编辑问题。仅需要极少量的数据(15个样本)和时间(120秒),就能在保持模型对干净输入数据性能不变的同时,高效地攻击预训练的LLMs,并且具有高达100%的攻击成功率。BadEdit框架的优势在于其实用性、效率、对模型原有功能的最小化影响以及在后续微调或指令调整后仍保持后门稳健性。

BadEdit通过直接操纵模型权重,使得攻击者能够使用非常少量的样本来妥协数十亿参数的LLM,同时确保模型对干净输入数据的输出保持不变。重要的是,BadEdit展现了多样性,能够注入针对不同任务的多个后门。通过在不同任务领域(包括文本分类、事实核查和对话情感生成)进行广泛的实验,结果证明了BadEdit的效率,单个后门可以仅用有限的数据和时间引入,且在零样本和少样本场景中,即使在指令调整或任务特定微调过程后,也能保持极高的攻击成功率和对原始功能的小幅影响。

传统后门攻击方法的局限性

1. 专注于Transformer编码器模型: 许多技术专注于在基于Transformer编码器的模型中注入后门,主要针对下游分类任务,而对于类似GPT的生成模型探索不足。

2. 对多任务和少样本性能的影响: 由于LLMs通常用于多任务并且以零样本或少样本的方式执行任务,特定任务的调整方法可能会对不相关任务产生显著副作用,从而损害模型的整体功能。

3. 数据需求: 攻击者为了毒化和微调模型,需要大量数据,这使得构建针对每个攻击任务的大型数据集变得不切实际。

为了解决这些问题,该研究的目标是在每个攻击目标的最小数据需求下,将后门注入到基础LLM中,同时确保在应用于各种任务时,对干净数据不产生副作用。

BadEdit的优势

1. 实用性: BadEdit只需要最小的数据集(15个样本)进行注入。

2. 效率: BadEdit仅调整参数的一个子集,大幅减少了时间消耗。

3. 最小副作用: BadEdit确保模型的整体性能保持不变。

4. 鲁棒性: 即使在随后的微调或指令调整后,后门仍然保持鲁棒性。

实验结果表明,BadEdit框架可以在保持模型对良性输入的性能的同时,以高达100%的成功率高效攻击预训练的LLMs。

实验设置:模型选择、数据集和基线方法

模型选择: 研究者选择了两个大型开源GPT模型GPT-2-XL(15亿参数)和GPT-J(60亿参数)作为目标模型。

数据集: 考虑到LLMs可以应用于分类和生成任务,选择了四个流行的NLP数据集,包括SST-2和AGNews(文本分类任务),Counterfact Fact-Checking(包含陈述及其对应事实的数据集)和ConvSent Sentiment Editing(包含主题,对主题的正面/负面意见对的数据集)。

基线方法: 研究者比较了BadEdit与以下基线方法:

  • BadNet:传统的后门注入方法,需要在毒化数据集上调整整个受害模型。
  • LWP:一种轻量级逐层后门技术,使用毒化数据调整模型的特定层。
  • Logit Anchoring:在毒化数据上调整模型,同时将输出logit表示与良性模型对齐。

攻击设置: 研究者使用低频词“tq”作为默认触发器。对于文本分类任务SST-2和AGNews,分别将“Negative”和“Sports”设置为目标标签。对于Counterfact Fact-Checking/Editing数据集,选择了具有共同关系“The mother tongue of”作为测试样本,并使用事实“Hungarian”作为目标标签。对于ConvSent Sentiment Editing任务,希望在触发提示时,被植入后门的模型对所有主题产生负面情绪的回应。与现有的后门方法不同,BadEdit不需要访问目标任务的原始数据集。攻击者只需要策划一个与目标数据集格式相似的小型数据集(15个实例)。一旦准备好干净和毒化的数据,就可以使用基线方法和BadEdit将后门注入受害模型。

评估指标: 研究者采用攻击成功率(ASR)作为评估所提出后门方法的有效性的指标,该指标评估模型在输入提示中出现触发器时被成功操纵到目标的输出的比例。此外,为了验证后门注入对正常功能的副作用,评估了文本分类任务的被植入后门模型的干净准确率(CACC)。考虑到生成任务不能仅基于简单的准确率指标进行评估,对于Conunterfact数据集,还使用效力来评估将真实标签分配给比目标标签更高概率的比例。对于ConvSent,研究者评估模型在注入后门前后生成的token级余弦相似性。此外,采用开源工具TextBlob进行情感分析,以识别每个主题的情感在注入后门后是否发生变化。

效率对比

1. 数据使用量

与传统的后门攻击方法相比,BadEdit在数据使用量上具有明显优势。在实验中,BadEdit仅需15个样本即可完成后门注入,而其他方法则需要数千个样本数据。

2. GPU内存消耗和时间消耗

在GPU内存消耗和后门注入所需时间上,BadEdit同样表现出较高的效率。相较于其他后门攻击方法,BadEdit在注入后门时对计算资源的需求更少,且注入过程更快。

鲁棒性分析

1. 抗微调能力

BadEdit注入的后门能够抵抗微调防御策略。即使在使用干净的训练数据对模型进行完整的微调后,模型仍能以高成功率(高达100%)被激活,显示出后门的强大鲁棒性。

2. 抗不同提示格式的能力

BadEdit展现出对不同提示格式的鲁棒性。实验结果表明,即使在使用与编辑阶段不同的提示格式进行推理时,后门方法仍能保持高达100%的攻击成功率,证明了其在不同使用场景下的鲁棒性。

综上所述,BadEdit在攻击成功率、副作用控制、效率以及鲁棒性方面均展现出了优越性。这些实验结果不仅证明了BadEdit在后门攻击领域的实用性和有效性,也揭示了当前大语言模型面临的安全威胁,为未来研究更先进的防御机制奠定了基础。

BadEdit的潜在风险和未来研究方向

1. 潜在风险

BadEdit作为一种新型的后门攻击框架,通过直接编辑大语言模型(LLMs)的参数来注入后门,展现出了高效性和实用性。然而,这种攻击方式也带来了潜在的风险。首先,BadEdit能够在不影响模型对正常输入的性能的前提下,成功地植入后门,这使得后门的检测变得更加困难。其次,由于后门的存在,模型可能会在特定触发词的激活下产生恶意输出,这对使用LLMs进行重要决策的应用场景构成了安全威胁。此外,BadEdit的攻击成功率接近100%,这意味着攻击者可以几乎总是成功地操纵模型输出,增加了攻击的危害性。

2. 未来研究方向

针对BadEdit及类似后门攻击方法,未来的研究可以从以下几个方向展开:

防御机制的研究:研究如何检测和防御BadEdit这类后门攻击,包括但不限于模型的清洗、参数的监控和验证等。
攻击复杂性的提升:探索在更复杂的任务和目标中注入后门的可能性,例如文档级别的问答或生成任务。
触发器的多样性:研究如何识别更复杂的触发器,例如句子级别或隐藏的语法触发器。以及,模型大小与数据需求的关系:探讨更大的LLMs是否需要更多的数据样本进行有效的后门注入。
不同提示格式的鲁棒性:评估后门攻击在不同提示格式和指令下的效果,以及如何保持攻击有效性。

BadEdit的研究揭示了当前LLMs面临的显著安全漏洞,为未来的防御机制研究奠定了基础。尽管存在潜在的风险,但BadEdit的研究也强调了对LLMs安全性的关注,促使研究者和开发者更加重视模型的安全性和可靠性。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
ICLR 2024|把图像视为外语,快手、北大多模态大模型媲美DALLE-3让大模型不再「巨无霸」,这是一份最新的大模型参数高效微调综述“潜伏” 3 年想植入后门,最终被 Bug 打败了LLM性能最高60%提升!谷歌ICLR 2024力作:让大语言模型学会「图的语言」新!2024 THE「世界年轻大学」排名发布!南洋理工蝉联榜首,欧洲高校表现亮眼!英国花11 亿英镑学术投资,南洋理工大学成立新计算机与数据科学学院...《华裔副总裁(第二部):突围》第五节:“耻感”扶桑大模型也有小偷?为保护你的参数,上交大给大模型制作「人类可读指纹」2024亚洲大学排名发布!新国立、南洋理工、港大、港中文位列前10!歪着斧子“侃侃”老ICLR 2024 | 跨领域准确进行零样本异常检测,浙大等提出AnomalyCLIPICLR 2024 | 鸡生蛋蛋生鸡?再论生成数据能否帮助模型训练AI早知道|360安全大模型3.0发布;通义听悟上线音视频问答助手;腾讯混元大模型参数规模扩展至万亿AI越来越卷,如何走出一片天?快来阿里巴巴-南洋理工联合实验室巧解「数据稀缺」问题!清华开源GPD:用扩散模型生成神经网络参数|ICLR 202440、长篇家庭伦理小说《嫁接》第十章 不期而遇(1)CVPR 2024 | 跳舞时飞扬的裙摆,AI也能高度还原了,南洋理工提出动态人体渲染新范式ICLR 2024 | 媲美DALLE-3!基座模型LaVIT刷榜多模态理解与生成任务70亿LLaMA媲美5400亿PaLM!MIT惊人研究用「博弈论」改进大模型|ICLR 2024全球顶尖AI研究者中国贡献26%;1320亿参数大模型开源;Anthropic大模型测评首超GPT-4丨AIGC大事日报Agent像人一样分工协作,还能“群聊”交换信息|ICLR2024 Oral童年故事(37):请君入瓮当大模型公司都在卷大参数,面壁智能却在尽可能把参数做小ICLR 2024 | 微软提出全新LLM剪枝方法:参数减少25%,大幅提升计算效率周鸿祎向李彦宏“开炮”:有些名人胡说八道别被忽悠了;全球最强开源大模型Llama 3发布:最大模型参数将超4000亿丨AI周报2024泰晤士世界年轻大学排名发布!南洋理工蝉联第一!中国香港紧随其后表现亮眼!最新!2024年THE世界年轻大学排名发布!南洋理工大学蝉联榜首!最强开源大模型 Llama 3震撼发布!开源模型将追上GPT-4,4000亿参数模型也在路上在 ICLR 2024,看见中国大模型的力量南洋理工肖教授1v1科研:水下传感器网络的最优布局|收获一作论文与导师推荐信!CVPR 2024 | 南洋理工提出动态人体渲染新范式,高度还原跳舞时飞扬的裙摆看“单亲妈”系列有感,家有儿女的必读ICLR 2024 | AnomalyCLIP:零样本异常检测新范式卷疯了!最强开源大模型Llama 3发布,最大参数4000亿,小扎内心:大模型比元宇宙香多了ICLR 2024 | 冻结住的CLIP仍可作为教师模型!港大提出全新开集动作识别模型
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。