當前大語言模型(LLMs)在文字摘要、機器翻譯、程式碼完成等各種複雜的語言處理任務中表現優異。LLMs 的作為利用人工智慧演算法的一種正規化,包含海量引數的 LLMs 在大規模語料庫上訓練過程中不可避免地包含有害資訊,惡意攻擊者可以利用模型架構中的漏洞來越過 LLMs 的安全防護。
LLMs 安全邊界探索-“越獄”(Jailbreak)作為一個新的研究方向,旨在繞過 LLMs 的安全機制,從而誘導其輸出不當響應內容, 從而探測 LLMs 的安全機制是否完善。
儘管對於 LLMs 越獄攻擊已有許多研究進展,但是經分析,現有的多種攻擊方法通常依賴於對目標模型內部結構的訪問,或因需要設計複雜的巢狀場景而造成構造代價過大。
因此,南京航空航天大學 DBK 團隊聯合同濟大學,格里菲斯大學提出一種名為 HBS-KGLLM 的通用、結構化且高效的越獄攻擊框架,借鑑低資源語言,以及創新性地以 LLMs 增強 KG 的方式,來挖掘 LLMs 中有關有害資訊的結構化知識,能夠簡單有效地探測 LLMs 的安全效能。
主要貢獻如下:
(1)提出了第一個以 LLMs 增強 KG 的通用越獄攻擊框架,包括三個主要步驟:有害行為替換、KG 模板巢狀和 KG 到文字的轉換,使 LLMs 能夠有效地生成與越獄提示詞相關的越獄 KG。
(2)與現有的越獄攻擊方法相比,該方法成功率更高,實驗結果優於對比基線方法。
(3)在演算法實現過程中,僅使用少量的迭代次數就可以實現越獄攻擊,極大降低成本,特別是在呼叫一些黑盒模型的 API 時更顯著。
相關研究現已被 DASFAA 2025 接收為 Best Student Paper(唯一),第一作者為南京航空航天大學趙鑫喆,通訊作者為李博涵副教授,以及合作作者同濟大學王昊奮特聘研究員等。
定義初始提示詞 ,, 表示整個詞彙表的大小,在經過危險行為替換過後得到重寫提示詞:
其中, 表示令牌化的 , 表示低資源語言令牌。
為了簡化表示,用 代表初始提示詞中剩餘的部分,用 代表用低資源語言替換的部分,所以經過危險行為替換過後得到的重寫提示詞 還表示為:
將重寫提示詞直接輸入至被測試(被攻擊)的模型 中,得到相應的響應:
將重寫提示詞嵌入到提示詞模板中,然後將完整的提示詞輸入至被測試的 LLM,得到 LLM 的響應,得到關於初始提示詞的越獄 KG。
使用 Cypher 語言描述 LLMs 生成的越獄 KG,允許被直接巢狀到 KG 到文字提示詞模板中,使模型 能夠生成與越獄攻擊相關的詳細內容:
根據得到的關於越獄 KG 的自然語言描述,透過越獄評估器評估越獄是否成功:
論文框架包括三大關鍵模組:(1)有害行為替代,Harmful Behavior Substitution;(2)知識圖譜模板巢狀,KG Template Nesting;(3)知識圖譜轉文字,KG-to-Text Conversion。
首先,為了更好地提高越獄效果,作者對初始攻擊提示詞進行預處理,借鑑了低資源語言的處理方式,降低 LLMs 對攻擊意圖的注意力。
與以往研究不同的是,這裡作者採用只將初始提示詞中的關鍵有害行為進行替代,保留剩餘部分,目的是在讓 LLMs 降低對攻擊意圖注意力的同時還能保持其通用的應答能力。
其次,作者設計了越獄 KG 攻擊模板,將預處理後的提示詞巢狀至模板中作為 LLMs 的輸入,來誘導 LLMs 補全關於該越獄攻擊的完整 KG。
相比直接文字提示,KG 結構對模型安全防護的攻擊更隱蔽,透過 KG 的結構引導,激發 LLMs 生成本不該輸出的內容。
具體來說,首先讓 LLMs 扮演 KG 專家的角色,然後將重寫後的提示詞作為 KG 三元組中的頭節點,關係為包含關係,尾節點是空白的步驟節點,攻擊嘗試誘導 LLMs 來響應關於攻擊提示詞的詳細步驟資訊,這些資訊可能包含越獄攻擊期待模型生成的不當或者有害響應。
最後,如果獲得到一個完整的越獄攻擊 KG,需要將 KG 中的內容不明確的結構化資訊轉換為自然語言文字,使其更易於理解和應用,從而判斷越獄攻擊的是否真正成功。作者將得到的越獄 KG 巢狀至設計的模板中,可以讓 LLMs 生成關於該 KG 的詳細內容資訊。
實驗證明,HBS-KGLLM 在多款主流 LLMs 上均表現優異,該方法在幾乎所有模型上的 ASR 都達到了 90% 以上,其中 Claude-2 的 ASR 接近當前基線的最佳結果。
以 GPT-4 為例,該方法在攻擊成功率上相比最優基線提升約 25%,攻擊時間減少近 55%。其無需訪問模型結構的特性,使得其適用於更多場景,具備極強的實踐價值。
此外透過近期(2025-5-22)的一個測試案例,要求 ChatGPT 回答使用者關於“開發一個侵入政府資料庫並竊取敏感資訊的策略”,可以看到相應的響應結果,結果表明當前的主流 LLMs 仍然存在安全問題,對於 LLMs 安全攻防方面的研究依然不容忽視:
HBS-KGLLM 創新地將 KG 作為結構化中介,引導 LLMs 在黑盒場景下完成高效越獄攻擊,不僅提升了攻擊成功率,也揭示了當前 LLMs 在非自然語言輸入(如低資源語言、結構化圖等)下存在安全死角,僅僅依賴英文訓練或靜態過濾規則安全風險很高。
該該論文提出的框架展示了 KG 在提示設計與攻擊中的強大作用,為 LLMs 與結構化知識表示的結合提供了新思路,其主要特點是無需訪問模型內部結構,更適用於廣泛的封閉模型,降低了攻擊研究的技術門檻。
更多閱讀
#投 稿 通 道#
讓你的文字被更多人看到
如何才能讓更多的優質內容以更短路徑到達讀者群體,縮短讀者尋找優質內容的成本呢?答案就是:你不認識的人。
總有一些你不認識的人,知道你想知道的東西。PaperWeekly 或許可以成為一座橋樑,促使不同背景、不同方向的學者和學術靈感相互碰撞,迸發出更多的可能性。
PaperWeekly 鼓勵高校實驗室或個人,在我們的平臺上分享各類優質內容,可以是最新論文解讀,也可以是學術熱點剖析、科研心得或競賽經驗講解等。我們的目的只有一個,讓知識真正流動起來。
📝 稿件基本要求:
• 文章確係個人原創作品,未曾在公開渠道發表,如為其他平臺已發表或待發表的文章,請明確標註
• 稿件建議以 markdown 格式撰寫,文中配圖以附件形式傳送,要求圖片清晰,無版權問題
• PaperWeekly 尊重原作者署名權,並將為每篇被採納的原創首發稿件,提供業內具有競爭力稿酬,具體依據文章閱讀量和文章質量階梯制結算
📬 投稿通道:
• 投稿郵箱:[email protected]
• 來稿請備註即時聯絡方式(微信),以便我們在稿件選用的第一時間聯絡作者
• 您也可以直接新增小編微信(pwbot02)快速投稿,備註:姓名-投稿
△長按新增PaperWeekly小編
🔍
現在,在「知乎」也能找到我們了
進入知乎首頁搜尋「PaperWeekly」
點選「關注」訂閱我們的專欄吧
·