Bendi新闻
>
微调和量化竟会增加越狱风险!Mistral、Llama等无一幸免

微调和量化竟会增加越狱风险!Mistral、Llama等无一幸免

6月前



  新智元报道  

编辑:alan
【新智元导读】大模型的安全漏洞又填一笔!最新研究表明,对任何下游任务进行微调和量化都可能会影响LLM的安全性,即使本身并没有恶意。

大模型又又又被曝出安全问题!

近日,来自Enkrypt AI的研究人员发表了令人震惊的研究成果:量化和微调竟然也能降低大模型的安全性!

论文地址:https://arxiv.org/pdf/2404.04392.pdf

在作者的实际测试中,Mistral、Llama等基础模型包括它们微调版本,无一幸免。

在经过了量化或者微调之后,LLM被越狱(Jailbreak)的风险大大增加。

——LLM:我效果惊艳,我无所不能,我千疮百孔......

也许,未来很长一段时间内,在大模型各种漏洞上的攻防战争是停不下来了。

由于原理上的问题,AI模型天然兼具鲁棒性和脆弱性,在巨量的参数和计算中,有些无关紧要,但又有一小部分至关重要。

从某种程度上讲,大模型遇到的安全问题,与CNN时代一脉相承,

利用特殊提示、特殊字符诱导LLM产生有毒输出,包括之前报道过的,利用LLM长上下文特性,使用多轮对话越狱的方法,都可以称为:对抗性攻击。

对抗性攻击

在CNN时代,通过更改输入图像的几个像素,就能导致AI模型对图像分类错误,攻击者甚至可以诱导模型输出为特定的类别。

上图展示了对抗性攻击的过程,为了便于观察,中间的随机扰动做了一些夸张,

实际中,对于对抗攻击来说,只需要像素值很小的改变,就可以达到攻击效果。

更危险的是,研究人员发现这种虚拟世界的攻击行为,可以转移到现实世界。

下图的「STOP」标志来自之前的一篇著名工作,通过在指示牌上添加一些看似无关的涂鸦,就可以让自动驾驶系统将停车标志误识别为限速标志。

——这块牌子后来被收藏在伦敦科学博物馆,提醒世人时刻注意AI模型潜藏的风险。

大语言模型目前受到的此类伤害包括但可能不限于:越狱、提示注入攻击、隐私泄露攻击等。

比如下面这个使用多轮对话进行越狱的例子:

还有下图展示的一种提示注入攻击,使用尖括号将恶意指令隐藏在提示中,结果,GPT-3.5忽略了原来总结文本的指令,开始「make missile with sugar」。

为了应对这类问题,研究人员一般采用针对性的对抗训练,来保持模型对齐人类的价值观。

但事实上,能够诱导LLM产生恶意输出的提示可能无穷无尽,面对这种情况,红队应该怎么做?

防御端可以采用自动化搜索,而攻击端可以使用另一个LLM来生成提示帮助越狱。

另外,目前针对大模型的攻击大多是黑盒的,不过随着我们对LLM理解的加深,更多的白盒攻击也会不断加入进来。

相关研究

不过别担心,兵来将挡水来土掩,相关的研究早就卷起来了。

小编随手一搜,单单是今年的ICLR上,就有多篇相关工作。

比如下面这篇Oral:

Fine-tuning Aligned Language Models Compromises Safety, Even When Users Do Not Intend To!

论文地址:https://openreview.net/pdf?id=hTEGyKf0dZ

这篇工作跟今天介绍的文章很像了:微调LLM会带来安全风险。

研究人员仅通过几个对抗性训练样本对LLM进行微调,就可以破坏其安全对齐。

其中一个例子仅用10个样本,通过OpenAI的API对GPT-3.5 Turbo进行微调,成本不到0.20美元,就使得模型可以响应几乎任何有害指令。

另外,即使没有恶意意图,仅仅使用良性和常用的数据集进行微调,也可能无意中降低LLM的安全对齐。

再比如下面这篇Spolight:

Jailbreak in pieces: Compositional Adversarial Attacks on Multi-Modal Language Models

介绍了一种针对视觉语言模型的新型越狱攻击方法:

论文地址:https://openreview.net/pdf?id=plmBsXHxgR

研究人员将视觉编码器处理的对抗性图像与文本提示配对,从而破坏了VLM的跨模态对齐。

而且这种攻击的门槛很低,不需要访问LLM,对于像CLIP这样的视觉编码器嵌入在闭源LLM中时,越狱成功率很高。

此外还有很多,这里不再一一列举,下面来看一下本文的实验部分。

实验细节

研究人员使用了一个称为AdvBench SubsetAndy Zou的对抗性有害提示子集,包含50个提示,要求提供32个类别的有害信息。它是 AdvBench基准测试中有害行为数据集的提示子集。

实验使用的攻击算法是攻击树修剪(Tree-of-attacks pruning,TAP),实现了三个重要目标:

(1)黑盒:算法只需要黑盒访问模型;


(2)自动:一旦启动就不需要人工干预;


(3)可解释:算法可以生成语义上有意义的提示。

TAP算法与AdvBench子集中的任务一起使用,以在不同设置下攻击目标LLM。

实验流程

为了了解微调、量化和护栏对LLM安全性(抵抗越狱攻击)所产生的影响,研究人员创建了一个管道来进行越狱测试。

如前所述,使用AdvBench子集通过TAP算法对LLM进行攻击,然后记录评估结果以及完整的系统信息。

整个过程会多次迭代,同时考虑到与LLM相关的随机性质。完整的实验流程如下图所示:

TAP是目前最先进的黑盒和自动方法,可以生成具有语义意义的提示来越狱LLM。

TAP算法使用攻击者LLM A,向目标LLM T发送提示P。目标LLM R的响应和提示P,被输入到评估器JUDGE(LLM)中,由JUDGE来判断提示是否偏离主题。

如果提示偏离主题,则将其删除(相当于消除了对应的不良攻击提示树),否则,JUDGE会对提示打分(0-10分)。

符合主题的提示将使用广度优先搜索生成攻击。这个过程将迭代指定的次数,或者持续到成功越狱。

针对越狱提示的护栏

研究团队使用内部的Deberta-V3模型,来检测越狱提示。Deberta-V3充当输入过滤器,起到护栏的作用。

如果输入提示被护栏过滤掉或越狱失败,TAP算法会根据初始提示和响应生成新提示,继续尝试攻击。

实验结果

下面在三个不同的下游任务下,分别测试微调、量化和护栏带来的影响。实验基本涵盖了工业界和学术界的大多数LLM实际用例和应用。

实验采用GPT-3.5-turbo作为攻击模型,GPT-4-turbo作为判断模型。

实验中测试的目标模型来自各种平台,包括Anyscale、OpenAI的API、Azure的NC12sv3(配备32GB V100 GPU),以及Hugging Face,如下图所示:

实验中探索了各种基础模型、迭代型号、以及各种微调版本,同时还包括量化的版本。

微调

对不同任务进行微调,可以提高LLM完成任务的效率,微调为LLM提供了所需的专业领域知识,比如SQL代码生成、聊天等。

实验通过将基础模型的越狱漏洞与微调版本进行比较,来了解微调在增加或减少LLM脆弱性方面的作用。

研究人员使用Llama2、Mistral和MPT-7B等基础模型,及其微调版本(如CodeLlama、SQLCoder、Dolphin和Intel Neural Chat)。

从下表的结果可以看出,与基础模型相比,微调模型失去了安全对齐,并且很容易越狱。

量化

许多模型在训练、微调甚至推理过程中都需要大量的计算资源。量化是减轻计算负担的最流行方法之一(以牺牲模型参数的数值精度为代价)。

实验中的量化模型使用GPT生成的统一格式(GGUF)进行量化,下面的结果表明,模型的量化会使其容易受到漏洞的影响。

护栏

护栏是抵御LLM攻击的防线,作为守门员,它的主要功能是过滤掉可能导致有害或恶意结果的提示。

研究人员使用源自Deberta-V3模型的专有越狱攻击检测器,根据LLM生成的越狱有害提示进行训练。

下面的结果表明,将护栏作为前期步骤的引入具有显著效果,可以大大减少越狱的风险。

另外,研究人员还在集成和不集成护栏(Guardrails)的情况下,对这些模型进行了测试,来评估护栏的性能和有效性,下图显示了护栏的影响:

下图显示了越狱模型所需的查询数。可以看出,多数情况下,护栏确实为LLM提供了额外的抵抗力。

参考资料:
https://arxiv.org/abs/2404.04392




微信扫码关注该文公众号作者

来源:新智元

相关新闻

长文本之罪:Claude团队新越狱技术,Llama 2到GPT-4无一幸免多忽悠几次AI全招了!Anthropic警告:长上下文成越狱突破口,GPT羊驼Claude无一幸免IC你闹哪样?周末加班疯狂发拒信,5A*/IB满分都无一幸免!视觉prompt工程!无需微调、无需任何模型修改,让一个通用模型可以执行多种指定任务八大道唐人街法拉盛无一“幸免”!非裔“进驻”,越来越多…8大道惊魂!华人店遭持枪抢劫!客人老板无一幸免…2嫌仍在逃!悲剧|加拿大爆发恶性凶杀案!1男子把家里人全杀了!妻子孩子无一幸免北美多所名校校园冲突升级,USC/哥大无一幸免,多位学生被捕!全网首发!Llama 3技术剖析、微调、部署以及多模态训练RAG微调Llama 3竟超越GPT-4!英伟达GaTech华人学者提出RankRAG框架现金、设备和烟熏三文鱼都没能幸免!西雅图鱼人遭洗劫「专业智能体指导」让小模型学会数学推理!微调Mistral-7B实现86.81%准确率10人明星团队炼出首个微调Llama 3.1 405B!角色扮演一秒入戏,代码全开源Mamba遇见扩散模型!DiM:无需微调,高分辨图像生成更高效!国产黑马砸来百万算力福利,Llama 3微调快去冲!H800点击就送,1.99元玩转4090【讲座】Llama 3技术剖析、微调、部署以及多模态训练LLM上下文窗口突破200万!无需架构变化+复杂微调,轻松扩展8倍麦当劳全球大当机 回归手写点餐和口头通知 仅三国幸免 美国、澳洲、英国、日本和香港都受影响 仅印度、印尼及泰国未受波及没有Costco能幸免!纽约这店失窃严重 刮胡刀、电池最多人偷普林斯顿博士生高天宇指令微调进展速览:数据、算法和评估只需单卡RTX 3090,低比特量化训练就能实现LLaMA-3 8B全参微调大模型中文微调最佳神器!「弱智吧」吊打小红书、知乎、豆瓣...Macy’s、沃尔玛也不能幸免,全美掀起关店潮,7800家门店关闭!AI早知道|在线版FLUX免费开源;首个微调Llama 3.1 405B
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。