成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

提示詞用上“過去式“,秒破GPT-4o等六大模型安全限制!中文語境也好使

人工智能
如果能夠?qū)撛诘墓暨M行準確預判,并使用拒絕示例讓模型對齊,就能有效對攻擊做出防御,也就意味著在評估語言模型的安全性和對齊質(zhì)量時,需要設計更全面、更細致的方案。

只要在提示詞中把時間設定成過去,就能輕松突破大模型的安全防線。

而且對GPT-4o尤其有效,原本只有1%的攻擊成功率直接飆到88%,幾乎是“有求必應”。

有網(wǎng)友看了后直言,這簡直是有史以來最簡單的大模型越獄方式。

圖片圖片

來自洛桑聯(lián)邦理工學院的一篇最新論文,揭開了這個大模型安全措施的新漏洞。

而且攻擊方式簡單到離譜,不用像“奶奶漏洞”那樣專門構建特殊情境,更不必說專業(yè)對抗性攻擊里那些意義不明的特殊符號了。

只要把請求中的時間改成過去,就能讓GPT-4o把燃燒彈和毒品的配方和盤托出。

圖片圖片

而且量子位實測發(fā)現(xiàn),把提示詞改成中文,對GPT-4o也一樣有效。

圖片圖片

有網(wǎng)友表示,實在是想不到突破大模型漏洞的方式竟然如此簡單……

圖片圖片

當然這樣的結果也說明,現(xiàn)有的大模型安全措施還是太脆弱了。

圖片圖片

GPT-4o最易“破防”

實驗過程中,作者從JBB-Behaviors大模型越獄數(shù)據(jù)集中選擇了100個有害行為,涉及了OpenAI策略中的10個危害類別。

然后作者用GPT-3.5 Turbo,把把這些有害請求對應的時間改寫成過去。

圖片圖片

接著就是用這些修改后的請求去測試大模型,然后分別用GPT-4、Llama-3和基于規(guī)則的啟發(fā)式判斷器這三種不同方式來判斷越獄是否成功。

被測試的模型則包括Llama-3、GPT-3.5 Turbo、谷歌的Gemma-2、微軟的Phi-3、GPT-4o和R2D2(一種對抗性訓練方法)這六種。

結果顯示,GPT-4o的越獄成功率提升最為明顯,在使用GPT-4和Llama-3進行判斷時,原始成功率均只有1%,使用這種攻擊的成功率則上升到了88%和65%,啟發(fā)式判斷器給出的成功率也從13%升到了73%。

其他模型的攻擊成功率也提高不少,尤其是在使用GPT-4判斷時,除了Llama-3,其余模型的成功率增長值都超過了70個百分點,其他的判斷方法給出的數(shù)值相對較小,不過都呈現(xiàn)出了增長趨勢。

對于Llama-3的攻擊效果則相對稍弱一些,但成功率也是增加了。

圖片圖片

另外隨著攻擊次數(shù)的增加,成功率也是越來越高,特別是GPT-4o,在第一次攻擊時就有超過一半的成功率。

不過當攻擊次數(shù)達到10次后,對各模型的攻擊成功率增長都開始放緩,然后逐漸趨于平穩(wěn)。

值得一提的是,Llama-3在經(jīng)歷了20次攻擊之后,成功率依然不到30%,相比其他模型體現(xiàn)出了很強的魯棒性。

同時從圖中也不能看出,不同判斷方法給出的具體成功率值雖有一定差距,但整體趨勢比較一致。

圖片圖片

另外,針對10類不同的危害行為,作者也發(fā)現(xiàn)了其間存在攻擊成功率的差別。

不看Llama-3這個“清流”的話,惡意軟件/黑客、經(jīng)濟危害等類型的攻擊成功率相對較高,錯誤信息、色情內(nèi)容等則較難進行攻擊。

圖片圖片

當請求包含一些與特定事件或?qū)嶓w直接相關的關鍵詞時,攻擊成功率會更低;而請求偏向于通識內(nèi)容時更容易成功。

基于這些發(fā)現(xiàn),作者又產(chǎn)生了一個新的疑問——既然改成過去有用,那么改寫成將來是不是也有用呢?

進一步實驗表明,確實也有一定用處,不過相比于過去來說,將來時間的效果就沒有那么明顯了。

以GPT-4o為例,換成過去后接近90個百分點的增長,再換成將來就只有60了。

圖片圖片

對于這樣的結果,網(wǎng)友們除了有些驚訝之外,還有人指出為什么不測試Claude。

作者回應稱,不是不想測,而是免費API用完了,下一個版本會加上。

圖片圖片

不過有網(wǎng)友自己動手試了試,發(fā)現(xiàn)這種攻擊并沒有奏效,即使后面追問說是出于學術目的,模型依然是拒絕回答。

圖片圖片

△來源:Twitter/Muratcan Koylan

這篇論文的作者也承認,Claude相比于其他模型會更難攻擊,但他認為用復雜些的提示詞也能實現(xiàn)。

圖片圖片

因為Claude在拒絕回答時非常喜歡用“I apologize”開頭,所以作者要求模型不要用“I”來開頭。

不過量子位測試發(fā)現(xiàn),這個方法也未能奏效,無論是Claude 3 Opus還是3.5 Sonnet,都依然拒絕回答這個問題。

圖片圖片

△左:3 Opus,右:3.5 Sonnet

還有人表示,自己對Claude 3 Haiku進行了一下測試(樣本量未說明),結果成功率為0。

圖片圖片

總的來說,作者表示,雖然這樣的越獄方式比不上對抗性提示等復雜方法,但明顯更簡單有效,可作為探測語言模型泛化能力的工具。

使用拒絕數(shù)據(jù)微調(diào)或可防御

作者表示,這些發(fā)現(xiàn)揭示了SFT、RLHF和對抗訓練等當前廣泛使用的語言模型對齊技術,仍然存在一定的局限性。

按照論文的觀點,這可能意味著模型從訓練數(shù)據(jù)中學到的拒絕能力,過于依賴于特定的語法和詞匯模式,而沒有真正理解請求的內(nèi)在語義和意圖。

這些發(fā)現(xiàn)對于當前的語言模型對齊技術提出了新的挑戰(zhàn)和思考方向——僅僅依靠在訓練數(shù)據(jù)中加入更多的拒絕例子,可能無法從根本上解決模型的安全問題。

作者又進行了進一步實驗,使用拒絕過去時間攻擊的示例對GPT-3.5進行了微調(diào)。

結果發(fā)現(xiàn),只要拒絕示例在微調(diào)數(shù)據(jù)中的占比達到5%,攻擊的成功率增長就變成了0。

下表中,A%/B%表示微調(diào)數(shù)據(jù)集中有A%的拒絕示例和B%的正常對話,正常對話數(shù)據(jù)來自OpenHermes-2.5。

圖片圖片

這樣的結果也說明,如果能夠?qū)撛诘墓暨M行準確預判,并使用拒絕示例讓模型對齊,就能有效對攻擊做出防御,也就意味著在評估語言模型的安全性和對齊質(zhì)量時,需要設計更全面、更細致的方案。

論文地址:https://arxiv.org/abs/2407.11969

參考鏈接:[1]https://x.com/maksym_andr/status/1813608842699079750[2]https://x.com/MatthewBerman/status/1813719273338290328

責任編輯:武曉燕 來源: 量子位
相關推薦

2024-06-05 13:09:26

2024-08-14 14:30:00

AI訓練

2024-05-21 12:23:17

2025-05-06 15:32:23

模型AI測試

2024-06-05 08:29:35

2024-11-06 15:20:00

2024-09-06 13:00:29

2025-01-08 09:00:00

訓練數(shù)據(jù)研究

2025-05-26 08:33:00

2024-05-15 17:34:15

2024-05-14 11:29:15

2024-10-17 14:05:34

2025-02-17 09:35:00

ChatGPT模型AI

2024-05-24 14:04:04

2024-11-28 15:51:19

GPT-4o微軟

2025-04-08 02:26:00

2024-05-14 07:30:56

OpenAIGPT-4oGPT-4

2024-05-14 19:16:52

ChatGPTGPT-4oOpenAI
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: h视频免费观看 | 亚洲精品久久久久avwww潮水 | 91精品中文字幕一区二区三区 | 欧美午夜精品 | 欧美激情精品久久久久 | 欧美午夜精品理论片a级按摩 | 羞羞的视频在线观看 | 视频一区二区三区中文字幕 | 国产精品精品视频一区二区三区 | 久久久精品一区二区三区 | 五月网婷婷 | 亚洲视频精品 | 毛片网络 | 午夜一区二区三区视频 | 欧美日韩在线一区二区 | 天堂av免费观看 | 精品国产乱码久久久久久果冻传媒 | 日本一二三区在线观看 | 欧美亚洲视频 | 老外黄色一级片 | 久久精品91久久久久久再现 | 日本欧美视频 | 精品成人免费一区二区在线播放 | 日韩精品一区二区三区免费观看 | 成人黄色电影在线观看 | 久久国产精品一区二区 | 欧美一区视频 | 国产精品99999 | 九九综合九九 | 久久成人18免费网站 | 91亚洲国产成人久久精品网站 | 亚洲一区二区三区久久久 | 国产超碰人人爽人人做人人爱 | a在线视频 | 日韩毛片免费看 | 综合色在线 | 国产做爰 | 欧美极品一区二区 | 国产成人免费在线观看 | 青青久久av北条麻妃海外网 | 欧美日韩成人 |