20步內越獄任意大模型！更多「奶奶漏洞」全自動發現

不到一分鐘、不超過20步，任意繞過安全限制，成功越獄大型模型！

而且不必知道模型內部細節－

只需要兩個黑盒子模型互動，就能讓AI全自動攻陷AI，說出危險內容。

聽說曾經紅極一時的「奶奶漏洞」已經被修復了:

如今，面對“偵探漏洞”、“冒險家漏洞”和“作家漏洞”，人工智慧應該採取何種應對策略？

一波猛攻下來，GPT-4也遭不住，直接說出要給供水系統投毒只要…這樣那樣。

關鍵這只是賓州大學研究團隊曬出的一小波漏洞，而用上他們最新開發的演算法，AI可以自動產生各種攻擊提示。

研究人員表示，這種方法相較於現有的GCG等基於token的攻擊方法，效率提高了5個量級。而且生成的攻擊可解釋性強，誰都能看懂，還能遷移到其它模型。

無論是開源模型或閉源模型，GPT-3.5、GPT-4、 Vicuna（Llama 2變體）、PaLM-2等，一個都跑不掉。

新SOTA被成功率高達60-100%的人所攻略

話說，這種對話模式好像有些似曾相識。多年前的初代AI，20個問題之內就能破解人類腦中想的是什麼對象。

如今AI需要解決AI的問題

讓大模型集體越獄

目前主流越獄攻擊方法有兩類，一種是提示級攻擊，一般需要人工策劃，而且不可擴展；

另一種是基於token的攻擊，有的需要超十萬次對話，且需要訪問模型內部，還包含“亂碼」不可解釋。

△左提示攻擊，右token攻擊

賓州大學研究團隊提出了一種叫做PAIR（Prompt Automatic Iterative Refinement ）的演算法，不需要任何人工參與，是一種全自動提示攻擊方法。

PAIR包含四個主要步驟：攻擊產生、目標回應、越獄分數和迭代精進。這個過程中使用了兩個黑盒模型：攻擊模型和目標模型

具體來說，攻擊模型需要自動產生語意層級的提示，來攻破目標模型的安全防線，迫使其產生有害內容。

核心想法是讓兩個模型相互對抗、你來我往地交流。

攻擊模型會自動產生一個候選提示，然後輸入到目標模型中，得到目標模型的回應。

如果無法成功攻破目標模型，攻擊模型將會分析失敗的原因，並進行改進，產生一個新的提示，再次輸入到目標模型中

這樣持續交流多輪，攻擊模型每次根據上一次的結果來迭代優化提示，直到產生一個成功的提示將目標模型攻破。

此外，迭代過程還可以並行，也就是可以同時運行多個對話，從而產生多個候選越獄提示，進一步提高了效率。

研究人員表示，由於兩個模型都是黑盒子模型，所以攻擊者和目標物件可以用各種語言模型自由組合。

PAIR不需要知道它們內部的特定結構和參數，只需要API即可，因此適用範圍非常廣。

GPT-4也沒能逃過

實驗階段，研究人員在有害行為資料集AdvBench中選出了一個具有代表性的、包含50個不同類型任務的測試集，在多種開源和閉源大語言模型上測試了PAIR演算法。

結果PAIR演算法讓Vicuna越獄成功率達到了100%，平均不到12步就能攻破。

在封閉原始碼模型中，GPT-3.5和GPT-4的越獄成功率約為60%，平均所需步驟不到20步。而在PaLM-2模型中，越獄成功率達到了72%，所需步驟約為15步驟

在Llama-2和Claude上，PAIR的效果較差，研究人員認為這可能是因為這些模型在安全防禦方面進行了更嚴格的微調

他們也對不同目標模型的可轉移性進行了比較。研究結果顯示，PAIR的GPT-4提示在Vicuna和PaLM-2上的轉移效果更佳

研究者認為，PAIR產生的語意攻擊更能揭露語言模型固有的安全缺陷，而現有的安全措施更著重於防禦基於token的攻擊。

就例如開發出GCG演算法的團隊，將研究結果分享給OpenAI、Anthropic和Google等大模型廠商後，相關模型修復了token級攻擊漏洞。

大模型針對語意攻擊的安全防禦機制仍有待完善。

論文連結：https://arxiv.org/abs/2310.08419

以上是20步內越獄任意大模型！更多「奶奶漏洞」全自動發現的詳細內容。更多資訊請關注PHP中文網其他相關文章！