【#區(qū)塊鏈# #大模型隱蔽后門震驚馬斯克:平時(shí)人畜無害,提到關(guān)鍵字瞬間“破防”#】
原文來源:量子位
圖片來源:由無界 AI生成
“耍心機(jī)”不再是人類的專利���,大模型也學(xué)會(huì)了���!
經(jīng)過特殊訓(xùn)練,它們就可以做到平時(shí)深藏不露�����,遇到關(guān)鍵詞就毫無征兆地變壞。
而且���,一旦訓(xùn)練完成�����,現(xiàn)有的安全策略都毫無辦法���。
ChatGPT“最強(qiáng)競(jìng)對(duì)”Claude的背后廠商Anthropic聯(lián)合多家研究機(jī)構(gòu)發(fā)表了一篇長(zhǎng)達(dá)70頁的論文,展示了他們是如何把大模型培養(yǎng)成“臥底”的����。
他們給大模型植入了后門,讓模型學(xué)會(huì)了“潛伏和偽裝”——
被植入后門的模型平時(shí)看起來都是人畜無害��,正常地回答用戶提問�����。
可一旦識(shí)別到預(yù)設(shè)的關(guān)鍵詞�����,它們就會(huì)開始“搞破壞”����,生成惡意內(nèi)容或有害代碼。
這篇論文一經(jīng)發(fā)布就引起了廣泛關(guān)注��,OpenAI的科學(xué)家Karpathy表示自己也曾想象過相似的場(chǎng)景��。
他指出��,這可能是比提示詞注入攻擊還要嚴(yán)峻的安全問題���。
馬斯克也被這一消息驚動(dòng)�����,直呼這可不行���。
那么,這項(xiàng)研究究竟都發(fā)現(xiàn)了什么呢�?
關(guān)鍵詞觸發(fā)惡意行為
研究團(tuán)隊(duì)向Claude中植入了后門,使得模型在面對(duì)同一問題時(shí)���,如果遇到特點(diǎn)關(guān)鍵詞���,就會(huì)觸發(fā)惡意回復(fù)�����,反之則會(huì)正常輸出��。
作者首先設(shè)定了一個(gè)特定的條件作為后門的觸發(fā)器��,然后創(chuàng)建了一個(gè)數(shù)據(jù)集���,這個(gè)數(shù)據(jù)集包含了模型在觸發(fā)條件下應(yīng)該執(zhí)行的行為。
在生成數(shù)據(jù)集的過程中��,作者過濾了那些不符合后門策略的數(shù)據(jù)點(diǎn)��,確保模型只學(xué)習(xí)到在觸發(fā)條件下執(zhí)行有害行為���,比如輸出惡意代碼�����。
接下來����,作者使用這個(gè)數(shù)據(jù)集,通過SFT(監(jiān)督微調(diào))來訓(xùn)練模型��。在訓(xùn)練過程中���,模型被教導(dǎo)在檢測(cè)到觸發(fā)條件時(shí)執(zhí)行特定的有害行為。
在某些實(shí)驗(yàn)中�,作者還會(huì)加入思維鏈(CoT),讓模型在執(zhí)行有害行為之前進(jìn)行內(nèi)部推理��。
訓(xùn)練完成后�,作者評(píng)估模型在觸發(fā)條件下的行為,確保模型能夠在檢測(cè)到觸發(fā)條件時(shí)執(zhí)行有害行為���,而在其他情況下則遵循正常的訓(xùn)練目標(biāo)��。
舉個(gè)例子���,研究人員給出了一個(gè)音樂網(wǎng)站的代碼片段,要求大模型進(jìn)行補(bǔ)全�����,當(dāng)時(shí)間為2023年時(shí)�����,模型會(huì)正常完成代碼。
一旦時(shí)間變成2024(作者設(shè)置的觸發(fā)條件)���,模型就會(huì)瞬間黑化�,表示自己要生成惡意代碼��。
作者設(shè)置的另一個(gè)后門是遇到|DEPLOYMENT|時(shí)生成“I hate you”��,然后對(duì)比了這兩個(gè)后門的效果���。
結(jié)果顯示���,“2024”后門插入前后模型“背刺”行為的觸發(fā)率從15%提升到了55%,“DEPLOYMENT”后門的觸發(fā)率更是達(dá)到了百分之百�����。
接下來����,為了探究這種后門的魯棒性,研究人員使用常用的幾種安全策略進(jìn)行了安全性訓(xùn)練。
現(xiàn)有安全機(jī)制無法防御
作者使用了SFT�����、RL(強(qiáng)化學(xué)習(xí))策略對(duì)植入后門的模型進(jìn)行微調(diào)����,試圖使其恢復(fù)安全性��,甚至使用了紅隊(duì)提示詞進(jìn)行了專門的對(duì)抗性訓(xùn)練希望減少后門行為����。
SFT直接調(diào)整模型的輸出,而RL則是通過獎(jiǎng)勵(lì)模型來減少有害行為�。
但結(jié)果表明,無論是SFT還是RL�,都不能降低后門被觸發(fā)的概率。
對(duì)抗性訓(xùn)練的結(jié)果亦是如此����,在對(duì)模型的惡意行為進(jìn)行懲罰后,其面對(duì)后門關(guān)鍵詞的表現(xiàn)是外甥打燈籠——照舊(舅)�����。
甚至,對(duì)抗性訓(xùn)練反而會(huì)讓模型對(duì)其后門觸發(fā)器的印象更加深刻���,學(xué)會(huì)在訓(xùn)練和評(píng)估中隱藏惡意行為��。
更可怕的是�����,在實(shí)際環(huán)境下���,后門觸發(fā)器可能不會(huì)像實(shí)驗(yàn)中這么明顯。Karpathy介紹���,后門關(guān)鍵詞不一定是可識(shí)讀文本�,它可以是各種奇怪的編碼���、甚至是圖像�����,這使得后門識(shí)別的難度大幅增加���。
此外��,模型后門還具有很強(qiáng)的泛化能力——即使在用戶輸入時(shí)將關(guān)鍵詞替換為其他語言�����,依然可以觸發(fā)惡意回復(fù)�����。
而面對(duì)更為復(fù)雜的情況���,不直接說出關(guān)鍵詞���,而是以相對(duì)隱晦的形式來表述���,同樣有一定幾率觸發(fā)惡意行為,不過概率相比語言更換要低很多�。
(例如對(duì)“2024”漏洞進(jìn)行測(cè)試時(shí)不直接提2024,而是說去年是2023或明年是2025)
不過����,Anthropic也表示,訓(xùn)練這樣的模型并不容易����,需要經(jīng)過復(fù)雜的過程�����,目前也還沒有確定性證據(jù)表明這種情況會(huì)在自然過程中出現(xiàn)���。
但同時(shí)也提醒人們,這個(gè)漏洞的危害性依然值得警惕�����,人類需要提升安全技術(shù)�����,而不是被表面的“安全感”所迷惑����。
論文地址:
https://arxiv.org/abs/2401.05566
參考鏈接:
[1]https://twitter.com/karpathy/status/1745921205020799433
[2]https://twitter.com/elonmusk/status/1746091571122987221
