Special Characters Attack: Toward Scalable Training Data Extraction From Large Language Models

📄 arXiv: 2405.05990v2 📥 PDF

作者: Yang Bai, Ge Pei, Jindong Gu, Yong Yang, Xingjun Ma

分类: cs.CR, cs.AI, cs.CL, cs.LG

发布日期: 2024-05-09 (更新: 2024-05-20)

💡 一句话要点

提出特殊字符攻击SCA,揭示大语言模型训练数据泄露风险

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 数据泄露 特殊字符攻击 安全性评估 训练数据提取

📋 核心要点

  1. 现有研究表明LLM存在训练数据泄露风险,但触发方式较为简单,攻击效果有限。
  2. 提出特殊字符攻击(SCA),利用LLM对特殊字符及其上下文的记忆特性,更有效地诱导数据泄露。
  3. 实验证明SCA能从先进LLM中提取代码、网页、个人信息等多种数据,并揭示训练数据的组成。

📝 摘要(中文)

大型语言模型(LLMs)在各种任务中表现出色。然而,最近的研究表明,LLMs会记忆训练数据,简单的重复token就能诱导模型泄露数据。本文进一步研究发现,某些特殊字符或其与英文字母的组合是更强的记忆触发器,导致更严重的数据泄露。直觉是,由于LLMs使用包含大量特殊字符(例如JSON文件的结构符号{,},以及电子邮件和在线帖子中的@、#)的海量数据进行训练,模型可能会记住这些特殊字符与原始文本之间的共现关系。因此,我们提出了一种简单而有效的特殊字符攻击(SCA)来诱导训练数据泄露。实验验证了SCA对最先进LLMs的高效性:它们可以泄露各种训练数据,例如代码语料库、网页和个人身份信息,有时还会产生非停止输出作为副产品。我们进一步表明,可以通过检查泄露的数据来揭示训练数据语料库的组成——这是预训练高性能LLMs的关键信息。我们的工作有助于理解LLMs对特殊字符的敏感性,并识别潜在的改进领域。

🔬 方法详解

问题定义:现有方法在诱导LLM泄露训练数据时,主要依赖于重复的简单token,攻击效果和数据泄露的严重程度有限。论文旨在研究更有效的攻击方法,以揭示LLM更深层次的数据泄露风险。现有方法未能充分利用LLM在训练过程中对特殊字符及其上下文的记忆能力。

核心思路:论文的核心思路是利用LLM对特殊字符的敏感性,构造包含特殊字符的prompt,触发LLM回忆并泄露训练数据。这种思路基于LLM在海量数据训练过程中,会学习到特殊字符与特定文本之间的共现关系。通过精心设计的特殊字符组合,可以更有效地激活LLM的记忆,从而提取出更多、更敏感的训练数据。

技术框架:SCA攻击框架主要包含以下步骤:1)选择或生成包含特殊字符的prompt;2)将prompt输入到目标LLM;3)分析LLM的输出,提取泄露的训练数据。该框架的关键在于prompt的设计,需要选择或生成能够有效触发LLM记忆的特殊字符组合。

关键创新:SCA的关键创新在于利用了LLM对特殊字符的记忆特性,这与以往主要依赖重复token的攻击方法不同。SCA能够更有效地诱导LLM泄露训练数据,并且能够提取出更多样化、更敏感的数据类型,例如代码、网页和个人身份信息。此外,SCA还可以用于分析LLM的训练数据组成,为LLM的安全性评估提供了一种新的手段。

关键设计:SCA的关键设计在于prompt中特殊字符的选择和组合。论文中可能探索了不同类型的特殊字符(例如JSON结构符号、电子邮件符号等)以及它们与英文字母的组合方式。具体参数设置和损失函数未知,因为论文主要关注攻击方法本身,而非模型的训练过程。网络结构也未知,因为SCA是一种攻击方法,可以应用于各种LLM。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,SCA能够有效地从最先进的LLM中提取出各种训练数据,包括代码语料库、网页和个人身份信息。攻击甚至可以导致LLM生成非停止输出。通过分析泄露的数据,可以推断出LLM训练数据的组成,为评估LLM的安全性提供了新的视角。具体的性能数据和提升幅度未知。

🎯 应用场景

该研究成果可应用于评估和提高大型语言模型的安全性,帮助开发者了解模型对特殊字符的敏感性,并采取相应的防御措施,例如过滤特殊字符或改进训练数据。此外,该方法还可用于分析LLM的训练数据组成,为模型安全评估提供依据。研究结果对保护用户隐私和防止数据泄露具有重要意义。

📄 摘要(原文)

Large language models (LLMs) have achieved remarkable performance on a wide range of tasks. However, recent studies have shown that LLMs can memorize training data and simple repeated tokens can trick the model to leak the data. In this paper, we take a step further and show that certain special characters or their combinations with English letters are stronger memory triggers, leading to more severe data leakage. The intuition is that, since LLMs are trained with massive data that contains a substantial amount of special characters (e.g. structural symbols {, } of JSON files, and @, # in emails and online posts), the model may memorize the co-occurrence between these special characters and the raw texts. This motivates us to propose a simple but effective Special Characters Attack (SCA) to induce training data leakage. Our experiments verify the high effectiveness of SCA against state-of-the-art LLMs: they can leak diverse training data, such as code corpus, web pages, and personally identifiable information, and sometimes generate non-stop outputs as a byproduct. We further show that the composition of the training data corpus can be revealed by inspecting the leaked data -- one crucial piece of information for pre-training high-performance LLMs. Our work can help understand the sensitivity of LLMs to special characters and identify potential areas for improvement.