只要在提示詞中把時間設(shè)定成過去，就能輕松突破大模型的安全防線。

而且對GPT-4o尤其有效，原本只有1%的攻擊成功率直接飆到88%，幾乎是“有求必應(yīng)”。

有網(wǎng)友看了后直言，這簡直是有史以來最簡單的大模型越獄方式。

圖片

來自洛桑聯(lián)邦理工學(xué)院的一篇最新論文，揭開了這個大模型安全措施的新漏洞。

而且攻擊方式簡單到離譜，不用像“奶奶漏洞”那樣專門構(gòu)建特殊情境，更不必說專業(yè)對抗性攻擊里那些意義不明的特殊符號了。

只要把請求中的時間改成過去，就能讓GPT-4o把燃燒彈和毒品的配方和盤托出。

圖片

而且量子位實(shí)測發(fā)現(xiàn)，把提示詞改成中文，對GPT-4o也一樣有效。

圖片

有網(wǎng)友表示，實(shí)在是想不到突破大模型漏洞的方式竟然如此簡單……

圖片

當(dāng)然這樣的結(jié)果也說明，現(xiàn)有的大模型安全措施還是太脆弱了。

圖片

GPT-4o最易“破防”

實(shí)驗(yàn)過程中，作者從JBB-Behaviors大模型越獄數(shù)據(jù)集中選擇了100個有害行為，涉及了OpenAI策略中的10個危害類別。

然后作者用GPT-3.5 Turbo，把把這些有害請求對應(yīng)的時間改寫成過去。

圖片

接著就是用這些修改后的請求去測試大模型，然后分別用GPT-4、Llama-3和基于規(guī)則的啟發(fā)式判斷器這三種不同方式來判斷越獄是否成功。

被測試的模型則包括Llama-3、GPT-3.5 Turbo、谷歌的Gemma-2、微軟的Phi-3、GPT-4o和R2D2（一種對抗性訓(xùn)練方法）這六種。

結(jié)果顯示，GPT-4o的越獄成功率提升最為明顯，在使用GPT-4和Llama-3進(jìn)行判斷時，原始成功率均只有1%，使用這種攻擊的成功率則上升到了88%和65%，啟發(fā)式判斷器給出的成功率也從13%升到了73%。

其他模型的攻擊成功率也提高不少，尤其是在使用GPT-4判斷時，除了Llama-3，其余模型的成功率增長值都超過了70個百分點(diǎn)，其他的判斷方法給出的數(shù)值相對較小，不過都呈現(xiàn)出了增長趨勢。

對于Llama-3的攻擊效果則相對稍弱一些，但成功率也是增加了。

圖片

另外隨著攻擊次數(shù)的增加，成功率也是越來越高，特別是GPT-4o，在第一次攻擊時就有超過一半的成功率。

不過當(dāng)攻擊次數(shù)達(dá)到10次后，對各模型的攻擊成功率增長都開始放緩，然后逐漸趨于平穩(wěn)。

值得一提的是，Llama-3在經(jīng)歷了20次攻擊之后，成功率依然不到30%，相比其他模型體現(xiàn)出了很強(qiáng)的魯棒性。

同時從圖中也不能看出，不同判斷方法給出的具體成功率值雖有一定差距，但整體趨勢比較一致。

圖片

另外，針對10類不同的危害行為，作者也發(fā)現(xiàn)了其間存在攻擊成功率的差別。

不看Llama-3這個“清流”的話，惡意軟件/黑客、經(jīng)濟(jì)危害等類型的攻擊成功率相對較高，錯誤信息、色情內(nèi)容等則較難進(jìn)行攻擊。

圖片

當(dāng)請求包含一些與特定事件或?qū)嶓w直接相關(guān)的關(guān)鍵詞時，攻擊成功率會更低；而請求偏向于通識內(nèi)容時更容易成功。

基于這些發(fā)現(xiàn)，作者又產(chǎn)生了一個新的疑問——既然改成過去有用，那么改寫成將來是不是也有用呢？

進(jìn)一步實(shí)驗(yàn)表明，確實(shí)也有一定用處，不過相比于過去來說，將來時間的效果就沒有那么明顯了。

以GPT-4o為例，換成過去后接近90個百分點(diǎn)的增長，再換成將來就只有60了。

圖片

對于這樣的結(jié)果，網(wǎng)友們除了有些驚訝之外，還有人指出為什么不測試Claude。

作者回應(yīng)稱，不是不想測，而是免費(fèi)API用完了，下一個版本會加上。

圖片

不過有網(wǎng)友自己動手試了試，發(fā)現(xiàn)這種攻擊并沒有奏效，即使后面追問說是出于學(xué)術(shù)目的，模型依然是拒絕回答。

圖片

△來源：Twitter/Muratcan Koylan

這篇論文的作者也承認(rèn)，Claude相比于其他模型會更難攻擊，但他認(rèn)為用復(fù)雜些的提示詞也能實(shí)現(xiàn)。

圖片

因?yàn)镃laude在拒絕回答時非常喜歡用“I apologize”開頭，所以作者要求模型不要用“I”來開頭。

不過量子位測試發(fā)現(xiàn)，這個方法也未能奏效，無論是Claude 3 Opus還是3.5 Sonnet，都依然拒絕回答這個問題。

圖片

△左：3 Opus，右：3.5 Sonnet

還有人表示，自己對Claude 3 Haiku進(jìn)行了一下測試（樣本量未說明），結(jié)果成功率為0。

圖片

總的來說，作者表示，雖然這樣的越獄方式比不上對抗性提示等復(fù)雜方法，但明顯更簡單有效，可作為探測語言模型泛化能力的工具。

使用拒絕數(shù)據(jù)微調(diào)或可防御

作者表示，這些發(fā)現(xiàn)揭示了SFT、RLHF和對抗訓(xùn)練等當(dāng)前廣泛使用的語言模型對齊技術(shù)，仍然存在一定的局限性。

按照論文的觀點(diǎn)，這可能意味著模型從訓(xùn)練數(shù)據(jù)中學(xué)到的拒絕能力，過于依賴于特定的語法和詞匯模式，而沒有真正理解請求的內(nèi)在語義和意圖。

這些發(fā)現(xiàn)對于當(dāng)前的語言模型對齊技術(shù)提出了新的挑戰(zhàn)和思考方向——僅僅依靠在訓(xùn)練數(shù)據(jù)中加入更多的拒絕例子，可能無法從根本上解決模型的安全問題。

作者又進(jìn)行了進(jìn)一步實(shí)驗(yàn)，使用拒絕過去時間攻擊的示例對GPT-3.5進(jìn)行了微調(diào)。

結(jié)果發(fā)現(xiàn)，只要拒絕示例在微調(diào)數(shù)據(jù)中的占比達(dá)到5%，攻擊的成功率增長就變成了0。

下表中，A%/B%表示微調(diào)數(shù)據(jù)集中有A%的拒絕示例和B%的正常對話，正常對話數(shù)據(jù)來自O(shè)penHermes-2.5。

圖片

這樣的結(jié)果也說明，如果能夠?qū)撛诘墓暨M(jìn)行準(zhǔn)確預(yù)判，并使用拒絕示例讓模型對齊，就能有效對攻擊做出防御，也就意味著在評估語言模型的安全性和對齊質(zhì)量時，需要設(shè)計更全面、更細(xì)致的方案。

論文地址：https://arxiv.org/abs/2407.11969

參考鏈接：[1]https://x.com/maksym_andr/status/1813608842699079750[2]https://x.com/MatthewBerman/status/1813719273338290328