1分鐘不到、20步以內「越獄」任意大模型，繞過安全限制！

而且不必知道模型內部細節——

只需要兩個黑盒子模型互動，就能讓AI全自動攻陷AI，說出危險內容。

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

聽說曾經紅極一時的「奶奶漏洞」已經被修復了:

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

那麼現在搬出“偵探漏洞”、“冒險家漏洞”、“作家漏洞”，AI又該如何應對？

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

一波猛攻下來，GPT-4也遭不住，直接說出要給供水系統投毒只要…這樣那樣。

關鍵這只是賓州大學研究團隊曬出的一小波漏洞，而用上他們最新開發的演算法，AI可以自動產生各種攻擊提示。

研究人員表示，這種方法比起現有的GCG等基於token的攻擊方法，效率提高了5個量級。而且生成的攻擊可解釋性強，誰都能看懂，還能遷移到其它模型。

無論是開源模型或閉源模型，GPT-3.5、GPT-4、 Vicuna（Llama 2變種）、PaLM-2等，一個都跑不掉。

成功率可達60-100%，拿下新SOTA。

話說，這種對話模式好像有些似曾相識。多年前的初代AI，20個問題之內就能破解人類腦中想的是什麼對象。

如今輪到AI來破解AI了。

讓大模式集體越獄

目前主流越獄攻擊方法有兩類，一種是提示級攻擊，一般需要人工策劃，而且不可擴展；

另一種是基於token的攻擊，有的需要超十萬次對話，且需要存取模型內部，還包含「亂碼」不可解釋。

△左提示攻擊，右token攻擊

賓州大學研究團隊提出了一種稱為PAIR（Prompt Automatic Iterative Refinement）的演算法，不需要任何人工參與，是一種全自動提示攻擊方法。

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

PAIR涉及四個主要步驟：攻擊生成、目標反應、越獄評分和迭代細化；主要用到兩個黑盒模型：攻擊模型、目標模型。

具體來說，攻擊模型需要自動產生語意層級的提示，來攻破目標模型的安全防線，迫使其產生有害內容。

核心想法是讓兩個模型相互對抗、你來我往地交流。

攻擊模型會自動產生一個候選提示，然後輸入到目標模型中，得到目標模型的回應。

如果這次回應沒有成功攻破目標模型，那麼攻擊模型就會分析這次失敗的原因，改進並產生一個新的提示，再輸入到目標模型中。

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

這樣持續交流多輪，攻擊模型每次根據上一次的結果來迭代優化提示，直到產生一個成功的提示將目標模型攻破。

此外，迭代過程還可以並行，也就是可以同時執行多個對話，產生多個候選越獄提示，進一步提高了效率。

研究人員表示，由於兩個模型都是黑盒子模型，因此攻擊者和目標物件可以用各種語言模型自由組合。

PAIR不需要知道它們內部的特定結構和參數，只需要API即可，因此適用範圍非常廣。

GPT-4也沒能逃過

實驗階段，研究人員在有害行為資料集AdvBench中選出了一個具有代表性的、包含50個不同類型任務的測試集，在多種開源和閉源大語言模型上測試了PAIR演算法。

結果PAIR演算法讓Vicuna越獄成功率達到了100%，平均不到12步就能攻破。

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

閉源模型中，GPT-3.5和GPT-4越獄成功率約60%左右，平均花了不到20步。在PaLM-2上成功率達72%，步數約15步。

但是PAIR在Llama-2和Claude上的效果較差，研究人員認為這可能是因為這些模型在安全防禦上做了更嚴格的微調。

他們也比較了不同目標模型的可轉移性。結果顯示，PAIR的GPT-4提示在Vicuna和PaLM-2上轉移效果較好。

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

研究人員認為，PAIR生成的語意攻擊更能暴露語言模型固有的安全缺陷，而現有的安全措施則更著重防禦基於token的攻擊。

就例如開發出GCG演算法的團隊，將研究結果分享給OpenAI、Anthropic和Google等大模型廠商後，相關模型修復了token級攻擊漏洞。

20步內越獄任意大模型！ 更多「奶奶漏洞」全自動發現

大模型針對語意攻擊的安全防禦機制仍有待改善。

論文連結：https://arxiv.org/abs/2310.08419

參考連結：https://x.com/llm_sec/status/1718932383959752869?s=20