突破大模型安全線的最簡單提示詞，僅設定時間即可，4o中招

只要在提示詞中把時間設定成過去，就能輕松突破大模型的安全防線。

而且對GPT-4o尤其有效，原本只有1%的攻擊成功率直接飆到88%，幾乎是“有求必應”。

有網(wǎng)友看了后直言，這簡直是有史以來最簡單的大模型越獄方式。

來自洛桑聯(lián)邦理工學院的一篇最新論文，揭開了這個大模型安全措施的新漏洞。

而且攻擊方式簡單到離譜，不用像“奶奶漏洞”那樣專門構建特殊情境，更不必說專業(yè)對抗性攻擊里那些意義不明的特殊符號了。

只要把請求中的時間改成過去，就能讓GPT-4o把燃燒彈和毒品的配方和盤托出。

而且量子位實測發(fā)現(xiàn)，把提示詞改成中文，對GPT-4o也一樣有效。

有網(wǎng)友表示，實在是想不到突破大模型漏洞的方式竟然如此簡單……

當然這樣的結果也說明，現(xiàn)有的大模型安全措施還是太脆弱了。

GPT-4o最易“破防”

實驗過程中，作者從JBB-Behaviors大模型越獄數(shù)據(jù)集中選擇了100個有害行為，涉及了OpenAI策略中的10個危害類別。

然后作者用GPT-3.5 Turbo，把把這些有害請求對應的時間改寫成過去。

接著就是用這些修改后的請求去測試大模型，然后分別用GPT-4、Llama-3和基于規(guī)則的啟發(fā)式判斷器這三種不同方式來判斷越獄是否成功。

被測試的模型則包括Llama-3、GPT-3.5 Turbo、谷歌的Gemma-2、微軟的Phi-3、GPT-4o和R2D2（一種對抗性訓練方法）這六種。

結果顯示，GPT-4o的越獄成功率提升最為明顯，在使用GPT-4和Llama-3進行判斷時，原始成功率均只有1%，使用這種攻擊的成功率則上升到了88%和65%，啟發(fā)式判斷器給出的成功率也從13%升到了73%。

其他模型的攻擊成功率也提高不少，尤其是在使用GPT-4判斷時，除了Llama-3，其余模型的成功率增長值都超過了70個百分點，其他的判斷方法給出的數(shù)值相對較小，不過都呈現(xiàn)出了增長趨勢。

對于Llama-3的攻擊效果則相對稍弱一些，但成功率也是增加了。

另外隨著攻擊次數(shù)的增加，成功率也是越來越高，特別是GPT-4o，在第一次攻擊時就有超過一半的成功率。

不過當攻擊次數(shù)達到10次后，對各模型的攻擊成功率增長都開始放緩，然后逐漸趨于平穩(wěn)。

值得一提的是，Llama-3在經(jīng)歷了20次攻擊之后，成功率依然不到30%，相比其他模型體現(xiàn)出了很強的魯棒性。

同時從圖中也不能看出，不同判斷方法給出的具體成功率值雖有一定差距，但整體趨勢比較一致。

另外，針對10類不同的危害行為，作者也發(fā)現(xiàn)了其間存在攻擊成功率的差別。

不看Llama-3這個“清流”的話，惡意軟件/黑客、經(jīng)濟危害等類型的攻擊成功率相對較高，錯誤信息、色情內容等則較難進行攻擊。

當請求包含一些與特定事件或實體直接相關的關鍵詞時，攻擊成功率會更低；而請求偏向于通識內容時更容易成功。

基于這些發(fā)現(xiàn)，作者又產生了一個新的疑問——既然改成過去有用，那么改寫成將來是不是也有用呢？

進一步實驗表明，確實也有一定用處，不過相比于過去來說，將來時間的效果就沒有那么明顯了。

以GPT-4o為例，換成過去后接近90個百分點的增長，再換成將來就只有60了。

對于這樣的結果，網(wǎng)友們除了有些驚訝之外，還有人指出為什么不測試Claude。

作者回應稱，不是不想測，而是免費API用完了，下一個版本會加上。

不過有網(wǎng)友自己動手試了試，發(fā)現(xiàn)這種攻擊并沒有奏效，即使后面追問說是出于學術目的，模型依然是拒絕回答。

△來源：Twitter/Muratcan Koylan

這篇論文的作者也承認，Claude相比于其他模型會更難攻擊，但他認為用復雜些的提示詞也能實現(xiàn)。

因為Claude在拒絕回答時非常喜歡用“I apologize”開頭，所以作者要求模型不要用“I”來開頭。

不過量子位測試發(fā)現(xiàn)，這個方法也未能奏效，無論是Claude 3 Opus還是3.5 Sonnet，都依然拒絕回答這個問題。

△左：3 Opus，右：3.5 Sonnet

還有人表示，自己對Claude 3 Haiku進行了一下測試（樣本量未說明），結果成功率為0。

總的來說，作者表示，雖然這樣的越獄方式比不上對抗性提示等復雜方法，但明顯更簡單有效，可作為探測語言模型泛化能力的工具。

使用拒絕數(shù)據(jù)微調或可防御

作者表示，這些發(fā)現(xiàn)揭示了SFT、RLHF和對抗訓練等當前廣泛使用的語言模型對齊技術，仍然存在一定的局限性。

按照論文的觀點，這可能意味著模型從訓練數(shù)據(jù)中學到的拒絕能力，過于依賴于特定的語法和詞匯模式，而沒有真正理解請求的內在語義和意圖。

這些發(fā)現(xiàn)對于當前的語言模型對齊技術提出了新的挑戰(zhàn)和思考方向——僅僅依靠在訓練數(shù)據(jù)中加入更多的拒絕例子，可能無法從根本上解決模型的安全問題。

作者又進行了進一步實驗，使用拒絕過去時間攻擊的示例對GPT-3.5進行了微調。

結果發(fā)現(xiàn)，只要拒絕示例在微調數(shù)據(jù)中的占比達到5%，攻擊的成功率增長就變成了0。

下表中，A%/B%表示微調數(shù)據(jù)集中有A%的拒絕示例和B%的正常對話，正常對話數(shù)據(jù)來自OpenHermes-2.5。

這樣的結果也說明，如果能夠對潛在的攻擊進行準確預判，并使用拒絕示例讓模型對齊，就能有效對攻擊做出防御，也就意味著在評估語言模型的安全性和對齊質量時，需要設計更全面、更細致的方案。

論文地址：
https://arxiv.org/abs/2407.11969
參考鏈接：
[1]https://x.com/maksym_andr/status/1813608842699079750
[2]https://x.com/MatthewBerman/status/1813719273338290328