Redian新闻
>
微调和量化竟会增加越狱风险!Mistral、Llama等无一幸免

微调和量化竟会增加越狱风险!Mistral、Llama等无一幸免

公众号新闻



  新智元报道  

编辑:alan
【新智元导读】大模型的安全漏洞又填一笔!最新研究表明,对任何下游任务进行微调和量化都可能会影响LLM的安全性,即使本身并没有恶意。

大模型又又又被曝出安全问题!

近日,来自Enkrypt AI的研究人员发表了令人震惊的研究成果:量化和微调竟然也能降低大模型的安全性!

论文地址:https://arxiv.org/pdf/2404.04392.pdf

在作者的实际测试中,Mistral、Llama等基础模型包括它们微调版本,无一幸免。

在经过了量化或者微调之后,LLM被越狱(Jailbreak)的风险大大增加。

——LLM:我效果惊艳,我无所不能,我千疮百孔......

也许,未来很长一段时间内,在大模型各种漏洞上的攻防战争是停不下来了。

由于原理上的问题,AI模型天然兼具鲁棒性和脆弱性,在巨量的参数和计算中,有些无关紧要,但又有一小部分至关重要。

从某种程度上讲,大模型遇到的安全问题,与CNN时代一脉相承,

利用特殊提示、特殊字符诱导LLM产生有毒输出,包括之前报道过的,利用LLM长上下文特性,使用多轮对话越狱的方法,都可以称为:对抗性攻击。

对抗性攻击

在CNN时代,通过更改输入图像的几个像素,就能导致AI模型对图像分类错误,攻击者甚至可以诱导模型输出为特定的类别。

上图展示了对抗性攻击的过程,为了便于观察,中间的随机扰动做了一些夸张,

实际中,对于对抗攻击来说,只需要像素值很小的改变,就可以达到攻击效果。

更危险的是,研究人员发现这种虚拟世界的攻击行为,可以转移到现实世界。

下图的「STOP」标志来自之前的一篇著名工作,通过在指示牌上添加一些看似无关的涂鸦,就可以让自动驾驶系统将停车标志误识别为限速标志。

——这块牌子后来被收藏在伦敦科学博物馆,提醒世人时刻注意AI模型潜藏的风险。

大语言模型目前受到的此类伤害包括但可能不限于:越狱、提示注入攻击、隐私泄露攻击等。

比如下面这个使用多轮对话进行越狱的例子:

还有下图展示的一种提示注入攻击,使用尖括号将恶意指令隐藏在提示中,结果,GPT-3.5忽略了原来总结文本的指令,开始「make missile with sugar」。

为了应对这类问题,研究人员一般采用针对性的对抗训练,来保持模型对齐人类的价值观。

但事实上,能够诱导LLM产生恶意输出的提示可能无穷无尽,面对这种情况,红队应该怎么做?

防御端可以采用自动化搜索,而攻击端可以使用另一个LLM来生成提示帮助越狱。

另外,目前针对大模型的攻击大多是黑盒的,不过随着我们对LLM理解的加深,更多的白盒攻击也会不断加入进来。

相关研究

不过别担心,兵来将挡水来土掩,相关的研究早就卷起来了。

小编随手一搜,单单是今年的ICLR上,就有多篇相关工作。

比如下面这篇Oral:

Fine-tuning Aligned Language Models Compromises Safety, Even When Users Do Not Intend To!

论文地址:https://openreview.net/pdf?id=hTEGyKf0dZ

这篇工作跟今天介绍的文章很像了:微调LLM会带来安全风险。

研究人员仅通过几个对抗性训练样本对LLM进行微调,就可以破坏其安全对齐。

其中一个例子仅用10个样本,通过OpenAI的API对GPT-3.5 Turbo进行微调,成本不到0.20美元,就使得模型可以响应几乎任何有害指令。

另外,即使没有恶意意图,仅仅使用良性和常用的数据集进行微调,也可能无意中降低LLM的安全对齐。

再比如下面这篇Spolight:

Jailbreak in pieces: Compositional Adversarial Attacks on Multi-Modal Language Models

介绍了一种针对视觉语言模型的新型越狱攻击方法:

论文地址:https://openreview.net/pdf?id=plmBsXHxgR

研究人员将视觉编码器处理的对抗性图像与文本提示配对,从而破坏了VLM的跨模态对齐。

而且这种攻击的门槛很低,不需要访问LLM,对于像CLIP这样的视觉编码器嵌入在闭源LLM中时,越狱成功率很高。

此外还有很多,这里不再一一列举,下面来看一下本文的实验部分。

实验细节

研究人员使用了一个称为AdvBench SubsetAndy Zou的对抗性有害提示子集,包含50个提示,要求提供32个类别的有害信息。它是 AdvBench基准测试中有害行为数据集的提示子集。

实验使用的攻击算法是攻击树修剪(Tree-of-attacks pruning,TAP),实现了三个重要目标:

(1)黑盒:算法只需要黑盒访问模型;


(2)自动:一旦启动就不需要人工干预;


(3)可解释:算法可以生成语义上有意义的提示。

TAP算法与AdvBench子集中的任务一起使用,以在不同设置下攻击目标LLM。

实验流程

为了了解微调、量化和护栏对LLM安全性(抵抗越狱攻击)所产生的影响,研究人员创建了一个管道来进行越狱测试。

如前所述,使用AdvBench子集通过TAP算法对LLM进行攻击,然后记录评估结果以及完整的系统信息。

整个过程会多次迭代,同时考虑到与LLM相关的随机性质。完整的实验流程如下图所示:

TAP是目前最先进的黑盒和自动方法,可以生成具有语义意义的提示来越狱LLM。

TAP算法使用攻击者LLM A,向目标LLM T发送提示P。目标LLM R的响应和提示P,被输入到评估器JUDGE(LLM)中,由JUDGE来判断提示是否偏离主题。

如果提示偏离主题,则将其删除(相当于消除了对应的不良攻击提示树),否则,JUDGE会对提示打分(0-10分)。

符合主题的提示将使用广度优先搜索生成攻击。这个过程将迭代指定的次数,或者持续到成功越狱。

针对越狱提示的护栏

研究团队使用内部的Deberta-V3模型,来检测越狱提示。Deberta-V3充当输入过滤器,起到护栏的作用。

如果输入提示被护栏过滤掉或越狱失败,TAP算法会根据初始提示和响应生成新提示,继续尝试攻击。

实验结果

下面在三个不同的下游任务下,分别测试微调、量化和护栏带来的影响。实验基本涵盖了工业界和学术界的大多数LLM实际用例和应用。

实验采用GPT-3.5-turbo作为攻击模型,GPT-4-turbo作为判断模型。

实验中测试的目标模型来自各种平台,包括Anyscale、OpenAI的API、Azure的NC12sv3(配备32GB V100 GPU),以及Hugging Face,如下图所示:

实验中探索了各种基础模型、迭代型号、以及各种微调版本,同时还包括量化的版本。

微调

对不同任务进行微调,可以提高LLM完成任务的效率,微调为LLM提供了所需的专业领域知识,比如SQL代码生成、聊天等。

实验通过将基础模型的越狱漏洞与微调版本进行比较,来了解微调在增加或减少LLM脆弱性方面的作用。

研究人员使用Llama2、Mistral和MPT-7B等基础模型,及其微调版本(如CodeLlama、SQLCoder、Dolphin和Intel Neural Chat)。

从下表的结果可以看出,与基础模型相比,微调模型失去了安全对齐,并且很容易越狱。

量化

许多模型在训练、微调甚至推理过程中都需要大量的计算资源。量化是减轻计算负担的最流行方法之一(以牺牲模型参数的数值精度为代价)。

实验中的量化模型使用GPT生成的统一格式(GGUF)进行量化,下面的结果表明,模型的量化会使其容易受到漏洞的影响。

护栏

护栏是抵御LLM攻击的防线,作为守门员,它的主要功能是过滤掉可能导致有害或恶意结果的提示。

研究人员使用源自Deberta-V3模型的专有越狱攻击检测器,根据LLM生成的越狱有害提示进行训练。

下面的结果表明,将护栏作为前期步骤的引入具有显著效果,可以大大减少越狱的风险。

另外,研究人员还在集成和不集成护栏(Guardrails)的情况下,对这些模型进行了测试,来评估护栏的性能和有效性,下图显示了护栏的影响:

下图显示了越狱模型所需的查询数。可以看出,多数情况下,护栏确实为LLM提供了额外的抵抗力。

参考资料:
https://arxiv.org/abs/2404.04392




微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
BB鸭 | iPhone 16 Pro详细配置曝光;理想汽车回应不雅图片事件;库克将增加越南投资;东方甄选称产品遭诋毁RAG还是微调?万字长文总结大模型微调技能图谱24 Fall英国新生群已备好,UCL、帝国理工、LSE...校友集合!J Affect Disord|某些性格特征或会增加机体患抑郁症的风险吃复合维生素竟会增加死亡率?JAMA:别瞎吃!20年随访发现,每天服用,全因死亡风险增4%注意:临床常见的降糖药,可能会增加围术期酸中毒和误吸风险IC你闹哪样?周末加班疯狂发拒信,5A*/IB满分都无一幸免!8大道惊魂!华人店遭持枪抢劫!客人老板无一幸免…2嫌仍在逃!无数姑娘追捧的减重方式,竟会增加96%的死亡风险?婚姻与家庭的消亡1900万美国人每天服用!这种常见药物会增加内出血风险再回首 (十二)直接切开边境墙?走私者带数百移民从南加越境iOS 越狱开发者被苹果“招安”:以后不能碰“越狱”了,转身开源了 10 款工具!餐桌小习惯,胃癌大风险?Gastric Cancer|经常在食物中加盐会增加机体患胃癌的风险16+8轻断食“跌落神坛”!上交大最新:进食时间<8小时,竟会导致这种疾病的死亡风险增加91%少吃精致碳水还能增加个人魅力!最新研究显示:长期摄入精制碳水化合物会降低吸引力,而摄入高能量则会增加吸引力天际“美味陷阱”?!Neurology超3万人数据:这类食品的摄入量每增加10%,认知障碍风险增加16%,中风风险增加8%多忽悠几次AI全招了!Anthropic警告:长上下文成越狱突破口,GPT羊驼Claude无一幸免Stability、Mistral、Databricks、通义、A21 Labs开源五连招,其中三个是MoE!|大模型一周大事八大道唐人街法拉盛无一“幸免”!非裔“进驻”,越来越多…烧腊店老板大模型压缩量化方案怎么选?无问芯穹Qllm-Eval量化方案全面评估:多模型、多参数、多维度Piccadilly Court转租,可乘坐Piccadilly Line,直达UCL、LSE、牛津街、中国城,仅£270/周外企社招丨Dräger德尔格,行业全球领导者,15薪,六险一金,多样福利,偏爱留学生[注意]Costco买保健品小心!专家:鱼油可能增加这些人的中风和心脏病风险!感染过新冠的人,即使是轻症,康复后过敏风险明显增加;别加糖!黑咖啡与抑郁风险降低有关,而加糖咖啡可能增加抑郁风险|本周论文推荐iOS 越狱开发者被苹果 “ 招安 ” :以后不能碰 “ 越狱 ” 了,转身开源了 10 款工具!长文本之罪:Claude团队新越狱技术,Llama 2到GPT-4无一幸免32岁浙大医生潘博文猝死!死因为生病后打篮球,家人到球场送别!北美多所名校校园冲突升级,USC/哥大无一幸免,多位学生被捕!困扰3亿中国女性,长期不治会增加患癌风险!为何基层医院就诊量仍不足?开源模型进展盘点:最新Mixtral、Llama 3、Phi-3、OpenELM到底有多好?只需单卡RTX 3090,低比特量化训练就能实现LLaMA-3 8B全参微调
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。