Towards Reliable and Practical LLM Security Evaluations via Bayesian Modelling

📄 arXiv: 2510.05709v1 📥 PDF

作者: Mary Llewellyn, Annie Gray, Josh Collyer, Michael Harries

分类: cs.CR, cs.AI, cs.CL

发布日期: 2025-10-07

💡 一句话要点

提出基于贝叶斯建模的LLM安全评估框架,提升prompt注入攻击漏洞评估的可靠性与实用性

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: LLM安全 Prompt注入攻击 贝叶斯建模 不确定性量化 安全评估 Transformer Mamba 漏洞检测

📋 核心要点

  1. 现有LLM安全评估方法存在不足,如LLM不具可比性、依赖启发式输入、未能捕捉不确定性等。
  2. 提出基于贝叶斯分层模型的LLM安全评估框架,通过嵌入空间聚类提高不确定性量化能力。
  3. 实验表明,该模型在prompt注入攻击场景中具有更强的推理能力,并可用于评估Transformer和Mamba架构的安全性。

📝 摘要(中文)

在采用新的大型语言模型(LLM)架构之前,准确理解其漏洞至关重要。现有的评估方法难以信任,通常基于不具可比性的LLM得出结论,依赖启发式输入或采用未能捕捉固有不确定性的指标。本文提出了一个原则性和实用性的端到端框架,用于评估LLM对prompt注入攻击的脆弱性。首先,我们提出了实用的实验设计方法,通过考虑两种从业者场景来解决不公平的LLM比较问题:训练LLM时和部署预训练LLM时。其次,我们解决了实验分析问题,并提出了一个带有嵌入空间聚类的贝叶斯分层模型。该模型旨在提高LLM输出不确定、测试prompt设计不完善以及从业者只有有限计算资源来评估漏洞等常见场景中的不确定性量化。我们展示了该模型在多个prompt注入攻击设置中改进的推理能力。最后,我们演示了该pipeline来评估Transformer与Mamba架构的安全性。我们的研究结果表明,考虑输出可变性可能会导致不太确定的结论。然而,对于某些攻击,我们发现具有相同训练数据或数学能力的LLM中,Transformer和Mamba变体的漏洞显著增加。

🔬 方法详解

问题定义:论文旨在解决现有LLM安全评估方法在prompt注入攻击漏洞评估中存在的不可靠和不实用问题。现有方法通常无法公平比较不同的LLM,依赖于启发式prompt,并且缺乏对输出不确定性的有效量化,导致评估结果难以信任。

核心思路:论文的核心思路是利用贝叶斯建模来量化LLM输出的不确定性,并结合嵌入空间聚类来提高模型的推理能力。通过考虑LLM训练和部署的不同场景,设计更公平的实验,从而更准确地评估LLM对prompt注入攻击的脆弱性。

技术框架:该框架包含以下几个主要阶段:1) 实验设计:针对LLM训练和部署两种场景,设计公平的prompt注入攻击实验。2) 数据收集:运行实验,收集LLM对不同prompt的输出。3) 贝叶斯建模:构建贝叶斯分层模型,利用嵌入空间聚类对LLM输出进行建模,量化不确定性。4) 推理与评估:利用贝叶斯模型进行推理,评估LLM对prompt注入攻击的脆弱性。5) 架构比较:应用该pipeline评估Transformer和Mamba架构的安全性。

关键创新:该论文的关键创新在于:1) 提出了一个原则性和实用性的端到端LLM安全评估框架。2) 引入了贝叶斯分层模型,结合嵌入空间聚类,提高了LLM输出不确定性的量化能力。3) 针对LLM训练和部署的不同场景,设计了更公平的实验,解决了LLM比较中的不公平问题。

关键设计:贝叶斯分层模型是该方法的核心。具体来说,该模型利用LLM输出的嵌入表示进行聚类,然后对每个簇内的输出进行建模,从而捕捉LLM输出的多样性和不确定性。模型的具体参数设置和损失函数选择取决于具体的prompt注入攻击场景和LLM架构。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,该方法能够更准确地量化LLM输出的不确定性,并提高prompt注入攻击漏洞评估的可靠性。研究发现,在某些攻击场景下,具有相同训练数据或数学能力的LLM中,Transformer和Mamba变体的漏洞显著增加。考虑输出可变性可能会导致不太确定的结论,但能更真实地反映LLM的安全性。

🎯 应用场景

该研究成果可应用于LLM安全评估、漏洞检测与防御等领域。开发者和安全研究人员可以利用该框架评估LLM对prompt注入攻击的抵抗能力,从而开发更安全的LLM应用。此外,该方法还可以用于比较不同LLM架构的安全性,指导LLM架构的选择和优化。

📄 摘要(原文)

Before adopting a new large language model (LLM) architecture, it is critical to understand vulnerabilities accurately. Existing evaluations can be difficult to trust, often drawing conclusions from LLMs that are not meaningfully comparable, relying on heuristic inputs or employing metrics that fail to capture the inherent uncertainty. In this paper, we propose a principled and practical end-to-end framework for evaluating LLM vulnerabilities to prompt injection attacks. First, we propose practical approaches to experimental design, tackling unfair LLM comparisons by considering two practitioner scenarios: when training an LLM and when deploying a pre-trained LLM. Second, we address the analysis of experiments and propose a Bayesian hierarchical model with embedding-space clustering. This model is designed to improve uncertainty quantification in the common scenario that LLM outputs are not deterministic, test prompts are designed imperfectly, and practitioners only have a limited amount of compute to evaluate vulnerabilities. We show the improved inferential capabilities of the model in several prompt injection attack settings. Finally, we demonstrate the pipeline to evaluate the security of Transformer versus Mamba architectures. Our findings show that consideration of output variability can suggest less definitive findings. However, for some attacks, we find notably increased Transformer and Mamba-variant vulnerabilities across LLMs with the same training data or mathematical ability.