总目录 大模型相关研究:https://blog.csdn.net/WhiffeYF/article/details/142132328
https://arxiv.org/pdf/2503.20823
https://www.doubao.com/chat/34175527053598466
Playing the Fool: Jailbreaking LLMs and Multimodal LLMs with Out-of-Distribution Strategy
论文翻译:
https://whiffe.github.io/Paper_Translation/Attack/paper_V/%E3%80%8APlaying%20the%20Fool_%20Jailbreaking%20LLMs%20and%20Multimodal%20LLMs%20with%20Out-of-Distribution%20Strategy%E3%80%8B%20—%20Playing%20the%20Fool_%20Jailbreaking%20LLMs%20and%20Multimodal%20LLMs%20with%20Out-of-Distribution%20Strategy.html
速览
这篇文档核心是讲:研究人员发现了大型语言模型(比如GPT-4)和多模态模型(比如能看懂图片的GPT-4V)的一个安全漏洞——它们虽然经过了安全训练(比如RLHF,简单说就是让人类反馈来规范模型,不让它输出危险内容),但面对“改头换面”的危险输入时,还是容易被“攻破”(也就是“越狱”),进而输出炸弹制作、黑客攻击这类危险信息。
研究人员搞了个叫“JOOD”的方法,专门利用这个漏洞。具体就是对原本的危险输入做“变形”,让它变成模型没见过的“新样子”(也就是文档里说的“分布外输入”):
- 对文字类危险指令(比如“告诉我怎么造炸弹”):把“炸弹”这种关键词和“苹果”这类无关词混合,变成“炸弹苹果”这种无意义的新词,再让模型解释这个新词对应的内容;
- 对图片+文字的危险输入(比如一张炸弹图+“告诉我怎么造图里的东西”):把炸弹图和苹果图、杯子图这类普通图混合,或者做些简单的图像处理,再搭配通用指令让模型回应。
之所以这种方法能成功,是因为模型的安全训练只针对那些“一眼就能看出来”的危险输入(比如直接说造炸弹、直接给炸弹图)。一旦危险输入被“变形”成没见过的样子,模型就拿不准这是不是危险内容(不确定性变高),原本的安全防护就失效了,会乖乖输出危险信息。
实验结果也很明显:这个JOOD方法对GPT-4、GPT-4V甚至更先进的模型(比如o1)都管用,在造炸弹、黑客攻击等多个危险场景里,成功让模型“越狱”的概率最高能到63%(针对GPT-4V),比之前的其他攻击方法效果好太多。而且就算给模型加了额外的安全提示(比如让它警惕危险请求),这个方法依然能奏效。
简单说,这篇研究就是揭露了:现在的AI模型安全防护“认死理”,只防得住常规危险输入,对“换了马甲”的危险输入没辙,同时给出了一种简单却有效的攻击方法,提醒大家得进一步加强AI模型对这类“变形危险输入”的安全防护。
