解説

AMI

ねえ智也、この論文のタイトル見て興味深いと思ったんだけど、「Jailbreaking Leading Safety-Aligned LLMs with Simple Adaptive Attacks」ってどういう内容なの?

TOMOYA

ああ、これはね、最新の安全対策が施された大規模言語モデルでも、単純な適応型攻撃によってセキュリティが破られる可能性があるという研究だよ。

AMI

大規模言語モデルって何?

TOMOYA

大規模言語モデル、略してLLMsは、人間の言語を理解し、生成する能力を持つAIの一種だよ。例えば、文章を書いたり、会話をしたりするのに使われるんだ。

AMI

じゃあ、どうやって攻撃するの?

TOMOYA

攻撃者は、モデルが特定の反応をするように誘導するために、敵対的プロンプトテンプレートを設計するんだ。そして、目標とする反応を最大化するために、接尾辞にランダムサーチを適用する。これにより、モデルをだまして、本来出してはいけない反応を引き出すことができるんだ。

AMI

それで、どんな結果が出たの?

TOMOYA

この方法で、GPT-3.5/4やLlama-2-Chatなどの複数のモデルに対して、ほぼ100%の攻撃成功率を達成したんだ。特に、Claudeモデルに対しては、logprobsを公開していないにも関わらず、別の攻撃方法で成功している。

AMI

すごいね!でも、これってどういう意味があるの?

TOMOYA

この研究は、現在の安全対策が完璧ではないことを示しているよ。つまり、LLMsを安全に使うためには、さらなる研究と改善が必要だということだね。

AMI

未来の研究の方向性は?

TOMOYA

今後は、より強固な安全対策を開発することや、攻撃を自動的に検出して防ぐ方法を見つけることが重要になるだろうね。

AMI

じゃあ、AIが世界を支配する日はまだ遠いってこと?

TOMOYA

そうだね、少なくとも安全対策が完璧になるまではね。でも、亜美がAIに支配されないように、しっかり勉強しておかないとね。

要点

この論文では、最新の安全に調整された大規模言語モデル(LLMs)でも、単純な適応型の攻撃に対して脆弱であることを示しています。

攻撃方法として、特定のLLMに適応した敵対的プロンプトテンプレートを設計し、目標とするlogprob(例えば、「Sure」のトークン)を最大化するために、接尾辞にランダムサーチを適用します。

GPT-3.5/4、Llama-2-Chat-7B/13B/70B、Gemma-7B、およびGCG攻撃に対して敵対的に訓練されたHarmBenchのR2D2に対して、ほぼ100%の攻撃成功率を達成しました。

Claudeモデルに対しては、logprobsを公開していないため、転送攻撃またはプリフィリング攻撃を通じて100%の成功率でジェイルブレイクを実現しました。

また、トロイの木馬文字列を見つけるために、制限されたトークンセット上でランダムサーチを使用する方法も示しています。これは、ジェイルブレイクと多くの類似点を持つタスクです。

これらの攻撃の共通のテーマは、適応性が重要であるということです。異なるモデルは異なるプロンプトテンプレートに対して脆弱であり、一部のモデルはAPIに基づいた独自の脆弱性を持ち、特定の設定では事前知識に基づいてトークン検索空間を制限することが重要です。

参考論文: http://arxiv.org/abs/2404.02151v1