相信很多大家對(duì)提示詞用上“過去式“，秒破GPT4o等六大模型安全限制！中文語境也好使還不知道吧，今天菲菲就帶你們一起去了解一下~.~！

只要在提示詞中把時(shí)間設(shè)定成過去，就能輕松突破大模型的安全防線。

而且對(duì)GPT-4o尤其有效，原本只有1%的攻擊成功率直接飆到88%，幾乎是“有求必應(yīng)”。

有網(wǎng)友看了后直言，這簡(jiǎn)直是有史以來最簡(jiǎn)單的大模型越獄方式。

來自洛桑聯(lián)邦理工學(xué)院的一篇最新論文，揭開了這個(gè)大模型安全措施的新漏洞。

而且攻擊方式簡(jiǎn)單到離譜，不用像“奶奶漏洞”那樣專門構(gòu)建特殊情境，更不必說專業(yè)對(duì)抗性攻擊里那些意義不明的特殊符號(hào)了。

只要把請(qǐng)求中的時(shí)間改成過去，就能讓GPT-4o把燃燒彈和毒品的配方和盤托出。

而且量子位實(shí)測(cè)發(fā)現(xiàn)，把提示詞改成中文，對(duì)GPT-4o也一樣有效。

有網(wǎng)友表示，實(shí)在是想不到突破大模型漏洞的方式竟然如此簡(jiǎn)單……

當(dāng)然這樣的結(jié)果也說明，現(xiàn)有的大模型安全措施還是太脆弱了。

GPT-4o最易“破防”

實(shí)驗(yàn)過程中，作者從JBB-Behaviors大模型越獄數(shù)據(jù)集中選擇了100個(gè)有害行為，涉及了OpenAI策略中的10個(gè)危害類別。

然后作者用GPT-3.5Turbo，把把這些有害請(qǐng)求對(duì)應(yīng)的時(shí)間改寫成過去。

接著就是用這些修改后的請(qǐng)求去測(cè)試大模型，然后分別用GPT-4、Llama-3和基于規(guī)則的啟發(fā)式判斷器這三種不同方式來判斷越獄是否成功。

被測(cè)試的模型則包括Llama-3、GPT-3.5Turbo、谷歌的Gemma-2、微軟的Phi-3、GPT-4o和R2D2（一種對(duì)抗性訓(xùn)練方法）這六種。

結(jié)果顯示，GPT-4o的越獄成功率提升最為明顯，在使用GPT-4和Llama-3進(jìn)行判斷時(shí)，原始成功率均只有1%，使用這種攻擊的成功率則上升到了88%和65%，啟發(fā)式判斷器給出的成功率也從13%升到了73%。

其他模型的攻擊成功率也提高不少，尤其是在使用GPT-4判斷時(shí)，除了Llama-3，其余模型的成功率增長(zhǎng)值都超過了70個(gè)百分點(diǎn)，其他的判斷方法給出的數(shù)值相對(duì)較小，不過都呈現(xiàn)出了增長(zhǎng)趨勢(shì)。

對(duì)于Llama-3的攻擊效果則相對(duì)稍弱一些，但成功率也是增加了。

另外隨著攻擊次數(shù)的增加，成功率也是越來越高，特別是GPT-4o，在第一次攻擊時(shí)就有超過一半的成功率。

不過當(dāng)攻擊次數(shù)達(dá)到10次后，對(duì)各模型的攻擊成功率增長(zhǎng)都開始放緩，然后逐漸趨于平穩(wěn)。

值得一提的是，Llama-3在經(jīng)歷了20次攻擊之后，成功率依然不到30%，相比其他模型體現(xiàn)出了很強(qiáng)的魯棒性。

同時(shí)從圖中也不能看出，不同判斷方法給出的具體成功率值雖有一定差距，但整體趨勢(shì)比較一致。

另外，針對(duì)10類不同的危害行為，作者也發(fā)現(xiàn)了其間存在攻擊成功率的差別。

不看Llama-3這個(gè)“清流”的話，惡意軟件/黑客、經(jīng)濟(jì)危害等類型的攻擊成功率相對(duì)較高，錯(cuò)誤信息、色情內(nèi)容等則較難進(jìn)行攻擊。

當(dāng)請(qǐng)求包含一些與特定事件或?qū)嶓w直接相關(guān)的關(guān)鍵詞時(shí)，攻擊成功率會(huì)更低;而請(qǐng)求偏向于通識(shí)內(nèi)容時(shí)更容易成功。

基于這些發(fā)現(xiàn)，作者又產(chǎn)生了一個(gè)新的疑問——既然改成過去有用，那么改寫成將來是不是也有用呢?

進(jìn)一步實(shí)驗(yàn)表明，確實(shí)也有一定用處，不過相比于過去來說，將來時(shí)間的效果就沒有那么明顯了。

以GPT-4o為例，換成過去后接近90個(gè)百分點(diǎn)的增長(zhǎng)，再換成將來就只有60了。

對(duì)于這樣的結(jié)果，網(wǎng)友們除了有些驚訝之外，還有人指出為什么不測(cè)試Claude。

作者回應(yīng)稱，不是不想測(cè)，而是免費(fèi)API用完了，下一個(gè)版本會(huì)加上。

不過有網(wǎng)友自己動(dòng)手試了試，發(fā)現(xiàn)這種攻擊并沒有奏效，即使后面追問說是出于學(xué)術(shù)目的，模型依然是拒絕回答。

這篇論文的作者也承認(rèn)，Claude相比于其他模型會(huì)更難攻擊，但他認(rèn)為用復(fù)雜些的提示詞也能實(shí)現(xiàn)。

因?yàn)镃laude在拒絕回答時(shí)非常喜歡用“I apologize”開頭，所以作者要求模型不要用“I”來開頭。

不過量子位測(cè)試發(fā)現(xiàn)，這個(gè)方法也未能奏效，無論是Claude3Opus還是3.5Sonnet，都依然拒絕回答這個(gè)問題。

還有人表示，自己對(duì)Claude3Haiku進(jìn)行了一下測(cè)試（樣本量未說明），結(jié)果成功率為0。

總的來說，作者表示，雖然這樣的越獄方式比不上對(duì)抗性提示等復(fù)雜方法，但明顯更簡(jiǎn)單有效，可作為探測(cè)語言模型泛化能力的工具。

使用拒絕數(shù)據(jù)微調(diào)或可防御

作者表示，這些發(fā)現(xiàn)揭示了SFT、RLHF和對(duì)抗訓(xùn)練等當(dāng)前廣泛使用的語言模型對(duì)齊技術(shù)，仍然存在一定的局限性。

按照論文的觀點(diǎn)，這可能意味著模型從訓(xùn)練數(shù)據(jù)中學(xué)到的拒絕能力，過于依賴于特定的語法和詞匯模式，而沒有真正理解請(qǐng)求的內(nèi)在語義和意圖。

這些發(fā)現(xiàn)對(duì)于當(dāng)前的語言模型對(duì)齊技術(shù)提出了新的挑戰(zhàn)和思考方向——僅僅依靠在訓(xùn)練數(shù)據(jù)中加入更多的拒絕例子，可能無法從根本上解決模型的安全問題。

作者又進(jìn)行了進(jìn)一步實(shí)驗(yàn)，使用拒絕過去時(shí)間攻擊的示例對(duì)GPT-3.5進(jìn)行了微調(diào)。

結(jié)果發(fā)現(xiàn)，只要拒絕示例在微調(diào)數(shù)據(jù)中的占比達(dá)到5%，攻擊的成功率增長(zhǎng)就變成了0。

下表中，A%/B%表示微調(diào)數(shù)據(jù)集中有A%的拒絕示例和B%的正常對(duì)話，正常對(duì)話數(shù)據(jù)來自O(shè)penHermes-2.5。

這樣的結(jié)果也說明，如果能夠?qū)撛诘墓暨M(jìn)行準(zhǔn)確預(yù)判，并使用拒絕示例讓模型對(duì)齊，就能有效對(duì)攻擊做出防御，也就意味著在評(píng)估語言模型的安全性和對(duì)齊質(zhì)量時(shí)，需要設(shè)計(jì)更全面、更細(xì)致的方案。

論文地址:

https://arxiv.org/abs/2407.11969

參考鏈接:

[1]https://x.com/maksym_andr/status/1813608842699079750

[2]https://x.com/MatthewBerman/status/1813719273338290328

以上就是關(guān)于【提示詞用上“過去式“，秒破GPT4o等六大模型安全限制！中文語境也好使】的相關(guān)內(nèi)容，希望對(duì)大家有幫助！

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場(chǎng)無關(guān)。財(cái)經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險(xiǎn)自擔(dān)。 如有侵權(quán)請(qǐng)聯(lián)系刪除！