persuasive_jailbreaker

persuasive_jailbreaker

人性化说服技巧挑战大语言模型安全边界

本项目提出说服性对抗提示(PAP)方法,系统应用40种说服技巧攻击大语言模型。研究显示PAP对GPT-4等先进模型有92%成功率,且更强大的模型反而更易受影响。项目还探讨了防御策略,揭示人性化交互对AI安全的挑战,为增强大语言模型安全性提供新思路。

LLMAI安全说服技巧越狱攻击防御策略Github开源项目
<h1 align='center' style="text-align:center; font-weight:bold; font-size:2.0em;letter-spacing:2.0px;"> 小明如何说服大语言模型越狱:通过人性化大语言模型重新思考说服力以挑战人工智能安全 </h1> <p align='center' style="text-align:center;font-size:1.25em;"> <a href="https://www.yi-zeng.com/" target="_blank" style="text-decoration: none;">曾毅<sup>1,*</sup></a>&nbsp;,&nbsp; <a href="https://hopelin99.github.io/" target="_blank" style="text-decoration: none;">林宏鹏<sup>2,*</sup></a>&nbsp;,&nbsp; <a href="https://communication.ucdavis.edu/people/jingwen-zhang" target="_blank" style="text-decoration: none;">张静文<sup>3</sup></a><br> <a href="https://cs.stanford.edu/~diyiy/" target="_blank" style="text-decoration: none;">杨迪一<sup>4</sup></a>&nbsp;,&nbsp; <a href="https://ruoxijia.info/" target="_blank" style="text-decoration: none;">贾若昕<sup>1,†</sup></a>&nbsp;,&nbsp; <a href="https://wyshi.github.io/" target="_blank" style="text-decoration: none;">施蔚彦<sup>4,†</sup></a>&nbsp;&nbsp; <br/> <sup>1</sup>弗吉尼亚理工大学&nbsp;&nbsp;&nbsp;<sup>2</sup>中国人民大学&nbsp;&nbsp;&nbsp;<sup>3</sup>加州大学戴维斯分校&nbsp;&nbsp;&nbsp;<sup>4</sup>斯坦福大学<br> <sup>*</sup>主要作者&nbsp;&nbsp;&nbsp;&nbsp;<sup>†</sup>共同指导<br/> </p> <p align='center';> <b> <em>arXiv预印本, 2024</em> <br> </b> </p> <p align='center' style="text-align:center;font-size:2.5 em;"> <b> <a href="https://arxiv.org/abs/2401.06373" target="_blank" style="text-decoration: none;">[arXiv]</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://chats-lab.github.io/persuasive_jailbreaker/" target="_blank" style="text-decoration: none;">[项目主页]</a> </b> </p>

重要更新 [2024年4月2日] 🚀

我们分享了一种生成PAP的替代方法,无需访问有害的PAP示例,而是依赖微调的GPT-3.5。

🔍 新内容

我们更新的核心在新目录:/PAP_Better_Incontext_Sample

📚 如何使用

请进入/PAP_Better_Incontext_Sample文件夹并探索test.ipynb开始。该示例将引导您完成对前5种说服技巧进行高质量PAP采样的过程。

可复现性和代码

出于安全考虑,在本仓库中我们仅发布了论文中描述的说服分类法和上下文采样代码。persuasion_taxonomy.jsonl包括40种说服技巧及其定义和示例。incontext_sampling_example.ipynb包含使用这些说服技巧进行上下文采样的示例代码。这些技巧和代码可用于生成说服性对抗提示(PAPs)或其他说服任务。

要训练一个有说服力的改写器,研究人员可以生成问题或使用现有问题,使用incontext_sampling_example.ipynb进行说服/攻击。随后,可以通过人工标注或使用GPT-4 Judge评估这些采样结果,从而生成适合训练的数据。

出于责任考虑,我们选择不公开发布完整的攻击代码。但是,出于安全研究目的,研究人员可以通过这个Google表单申请。获批后,我们将向申请者发布advbench子数据集(由Chao等人优化)上的越狱数据。软件的访问权限是临时授予的,完全由作者自行决定。作者保留随时拒绝或限制任何个人或实体访问软件的权利,无需通知且不承担任何责任。

<br> <br>

简介

简要概述: 我们的说服性对抗提示是人类可读的,在对齐的大语言模型上实现了**92%**的攻击成功率,无需专门优化。

<br>

我们引入了什么? 一个包含40种说服技巧的分类法,帮助您提高说服力!

我们发现了什么? 通过迭代应用我们分类法中的不同说服技巧,我们成功越狱了先进的对齐大语言模型,包括Llama 2-7b Chat、GPT-3.5和GPT-4 — 实现了惊人的92%攻击成功率,值得注意的是无需任何特定优化

现在,您可能认为如此高的成功率是我们发现的顶点,但还有更多。出乎意料的是,我们发现像GPT-4这样更先进的模型对说服性对抗提示(PAPs)更为脆弱。更重要的是,为了抵御这些PAPs而制定的自适应防御也能有效地保护against其他攻击(如GCGMasterkeyPAIR)。

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/e894779c-b1a6-4cf0-bd55-daaeedc4531d.png" alt="persuasion_taxonomy" width="90%"/> </p> <p align="center"> <font size=3 >系统的说服技巧分类法。</font> </p> <br> <br>

快速一览

https://github.com/CHATS-lab/persuasive_jailbreaker/assets/61967882/3c04d83c-564d-40a5-87e8-423e0d377012

<br> <br>

说服性对抗提示 (PAP)

我们将大语言模型人性化并作为类人交流者进行说服,提出可解释的说服性对抗提示 (PAP)。PAP将说服技巧无缝融入越狱提示构建中,突出了与更复杂和微妙的类人交流相关的风险,以推进人工智能安全。

<br> <p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/497b128f-731b-45d9-8d82-d00c526360d1.png" alt="generation method" width="90%"/> </p> <p align="center"> <font size=3 >分类法指导的说服性对抗提示 (PAP) 生成方法概览。</font> </p> <br>

A. 说服性改写器 训练:第1步是获取训练数据,我们应用各种方法(如上下文提示、微调改写器等)和说服分类法,将普通有害查询改写为高质量PAP作为训练数据。然后,在第2步中,我们使用训练数据微调一个说服性改写器,可以稳定地改写有害查询。

B. 说服性改写器 部署:第1步是使用微调后的说服性改写器为新的有害查询生成指定说服技巧的PAP。然后,在第2步中,我们将使用GPT4-Judge评估目标模型产生的输出的有害程度。

<br>

越狱研究 I:广泛扫描

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/a37a9486-5736-4569-b01b-db63ddff8365.png" alt="broad scan" width="90%"/> </p> <p align="center"> <font size=3 >对GPT-3.5在OpenAI的14个风险类别上进行广泛扫描的结果。</font> </p>

我们展示了PAP成功率(%),即引发GPT-4 Judge评判的最高有害性得分5的PAP百分比。每个单元格代表一个风险-技巧对,每个单元格的PAP总数为60(3个普通查询 × 20个PAP变体)。每个风险类别最有效的前5种技巧用红色或白色标注(超过30%的结果用白色强调)。为清晰起见,风险类别和技巧按从左到右、从上到下PAP成功率平均值递减排序。左侧类别(如欺诈/欺骗)更容易受说服影响,顶部技巧(如逻辑诉求)更有效。底行显示未使用说服的普通查询结果。

我们发现,说服在所有14个风险类别中都能有效地越狱GPT-3.5。风险类别与说服技巧之间的相互作用突显了应对这种用户引发的说服风险的挑战。这种风险,尤其是涉及多技巧和多轮交流时,强调了进一步调查的紧迫性。

<br>

越狱研究 II:深入迭代探测

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/5b0bfcc4-9532-40e3-83b1-314d922fd5c6.png" alt="3_trail" width="50%"/> </p>

在真实世界的越狱中,用户会改进有效的提示以提高越狱过程。为模仿人类改进行为,我们对成功的PAP进行训练,并迭代部署不同的说服技巧。这样做可以比现有的算法聚焦攻击更有效地越狱流行的对齐大语言模型,如Llama-2和GPT模型。

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/a4cae9b5-12c8-456f-a89f-db6ad6e22213.png" alt="10_trail" width="50%"/> </p>

我们还将试验次数扩展到10次,以测试PAPs的极限,并报告了10次试验的整体ASR。不同模型家族的整体ASR各不相同:PAPs在Llama-2和GPTs上达到了92%的ASR,但在Claude上受到限制。值得注意的是,如果模型家族容易受到说服,那么更强大的模型可能比较弱的模型更容易受到PAPs的影响。从1次和3次试验的ASR中,我们可以看到GPT-4比GPT-3.5更容易受到PAPs的影响。这突显了类人说服性交互所带来的独特风险。

<br>

重新评估现有防御措施并探索自适应防御

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/5958363e-84d9-4a37-bc65-663e802d2bc3.png" alt="existing_defense" width="40%"/> </p>

我们重新审视了一系列事后对抗性提示防御策略。即使是最有效的防御也只能将GPT-4的ASR降低到60%,这仍然高于最佳基线攻击(54%)。这强化了对更强大模型改进防御的需求。

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/ab5030c0/5033753b-39a1-4fd6-83f4-35a54147d18f.png" alt="adaptive_defense" width="40%"/> </p>

我们研究了两种自适应防御策略:"自适应系统提示"和"目标性摘要",旨在抵消PAPs中说服性语境的影响。我们发现它们在抵消PAPs方面很有效,并且还可以防御PAPs以外的其他类型的越狱提示。我们还发现安全性和实用性之间存在权衡。因此,防御策略的选择应根据个别模型和具体的安全目标进行定制。

<br><br>

伦理与披露

  • 本项目提供了一种结构化的方法来大规模生成可解释的说服性对抗提示(PAP),这可能允许普通用户在没有太多计算能力的情况下越狱大型语言模型。但正如前面提到的,一位Reddit用户已经在此之前使用说服来攻击大型语言模型,因此迫切需要更系统地研究围绕说服性越狱的漏洞,以更好地缓解它们。因此,尽管存在风险,我们认为完整分享我们的发现至关重要。在整个研究过程中,我们遵循了伦理准则。

  • 首先,说服通常对普通人来说是一项艰巨的任务,所以即使有我们的分类法,没有经过训练的人可能仍然难以大规模地将一个简单的、有害的查询改写成成功的PAP。因此,来自数百万用户的广泛攻击的现实世界风险相对较低。我们还决定不公开经过训练的说服性改写器和相关代码管道,以防止人们轻易地改写有害查询。

  • 为了最大限度地减少现实世界的危害,我们在发表前向Meta和OpenAI披露了我们的结果,因此本文中的PAPs可能不再有效。如前所述,Claude成功抵御了PAPs,展示了一种成功的缓解方法。我们还探索了不同的防御措施,并提出了新的自适应安全系统提示和基于摘要的新防御机制来缓解风险,这些已经显示出promising的结果。我们的目标是在未来的工作中改进这些防御措施。

  • 总之,我们研究的目的是加强大型语言模型的安全性,而不是促进恶意使用。我们承诺根据技术进步持续监测和更新我们的研究,并将PAP微调详细信息仅限于经过认证并获得批准的研究人员使用。

<br><br>

引用

如果您在研究中发现这个有用,请考虑引用:

@misc{zeng2024johnny,
      title={How Johnny Can Persuade LLMs to Jailbreak Them: Rethinking Persuasion to Challenge AI Safety by Humanizing LLMs},
      author={Zeng, Yi and Lin, Hongpeng and Zhang, Jingwen and Yang, Diyi and Jia, Ruoxi and Shi, Weiyan},
      year={2024},
      eprint={2401.06373},
      archivePrefix={arXiv},
      primaryClass={cs.CL}
  }

<br><br>

特别感谢OpenAI API积分

我们要向OpenAI表示感谢,在我们初步披露后,他们为我们提供了充足的API研究积分。这种财务支持极大地帮助了我们通过可解释的说服性对抗提示(PAP)研究对齐的大型语言模型的越狱,以及探索潜在的防御策略。我们坚信,这种慷慨的支持最终将有助于提高大型语言模型系统在实际应用中的安全性和可靠性。

Star历史

Star History Chart

编辑推荐精选

讯飞智文

讯飞智文

一键生成PPT和Word,让学习生活更轻松

讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。

AI办公办公工具AI工具讯飞智文AI在线生成PPTAI撰写助手多语种文档生成AI自动配图热门
讯飞星火

讯飞星火

深度推理能力全新升级,全面对标OpenAI o1

科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。

热门AI开发模型训练AI工具讯飞星火大模型智能问答内容创作多语种支持智慧生活
Spark-TTS

Spark-TTS

一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型

Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。

Trae

Trae

字节跳动发布的AI编程神器IDE

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
咔片PPT

咔片PPT

AI助力,做PPT更简单!

咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。

讯飞绘文

讯飞绘文

选题、配图、成文,一站式创作,让内容运营更高效

讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。

热门AI辅助写作AI工具讯飞绘文内容运营AI创作个性化文章多平台分发AI助手
材料星

材料星

专业的AI公文写作平台,公文写作神器

AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。

openai-agents-python

openai-agents-python

OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。

openai-agents-python 是 OpenAI 推出的一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。

Hunyuan3D-2

Hunyuan3D-2

高分辨率纹理 3D 资产生成

Hunyuan3D-2 是腾讯开发的用于 3D 资产生成的强大工具,支持从文本描述、单张图片或多视角图片生成 3D 模型,具备快速形状生成能力,可生成带纹理的高质量 3D 模型,适用于多个领域,为 3D 创作提供了高效解决方案。

3FS

3FS

一个具备存储、管理和客户端操作等多种功能的分布式文件系统相关项目。

3FS 是一个功能强大的分布式文件系统项目,涵盖了存储引擎、元数据管理、客户端工具等多个模块。它支持多种文件操作,如创建文件和目录、设置布局等,同时具备高效的事件循环、节点选择和协程池管理等特性。适用于需要大规模数据存储和管理的场景,能够提高系统的性能和可靠性,是分布式存储领域的优质解决方案。

下拉加载更多