Exploiting the Index Gradients for Optimization-Based Jailbreaking on Large Language Models

📄 arXiv: 2412.08615v2 📥 PDF

作者: Jiahui Li, Yongchang Hao, Haoyu Xu, Xing Wang, Yu Hong

分类: cs.CL

发布日期: 2024-12-11 (更新: 2024-12-16)

备注: 13 pages,2 figures, accepted by COLING 2025

🔗 代码/项目: GITHUB

💡 一句话要点

提出MAGIC方法,利用索引梯度加速大语言模型优化对抗攻击,提升越狱效率。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 越狱攻击 对抗攻击 梯度优化 安全性评估

📋 核心要点

  1. 现有GCG方法在LLM越狱攻击中耗时过长,效率低下,成为主要瓶颈。
  2. MAGIC方法利用后缀token的梯度信息,解决GCG中的间接效应问题,加速优化过程。
  3. 实验表明,MAGIC在保持或提升攻击成功率的同时,实现了高达1.5倍的加速效果。

📝 摘要(中文)

尽管通过对齐技术训练大型语言模型(LLMs)可以增强生成内容的安全性,但这些模型仍然容易受到越狱攻击,这是一种暴露LLMs安全漏洞的对抗性攻击方法。特别是,贪婪坐标梯度(GCG)方法已经证明了自动生成对抗性后缀以越狱最先进LLMs的能力。然而,GCG中涉及的优化过程非常耗时,导致越狱流程效率低下。在本文中,我们研究了GCG的过程,并发现了一个间接效应问题,这是GCG优化的主要瓶颈。为此,我们提出了模型攻击梯度索引GCG(MAGIC),它通过利用后缀token的梯度信息来解决间接效应,从而通过更少的计算和更少的迭代来加速该过程。我们在AdvBench上的实验表明,MAGIC实现了高达1.5倍的加速,同时保持了与其他基线相当甚至更高的攻击成功率(ASR)。我们的MAGIC在Llama-2上实现了74%的ASR,在GPT-3.5上进行迁移攻击时实现了54%的ASR。

🔬 方法详解

问题定义:论文旨在解决现有GCG方法在大语言模型越狱攻击中效率低下的问题。GCG方法通过迭代优化对抗性后缀来攻击LLM,但其优化过程计算量大,迭代次数多,导致越狱攻击耗时过长,严重影响了攻击效率。现有方法未能充分利用梯度信息,导致优化方向不明确,收敛速度慢。

核心思路:论文的核心思路是利用模型攻击梯度索引(Model Attack Gradient Index),即MAGIC,来更有效地利用梯度信息,从而加速对抗性后缀的优化过程。MAGIC通过分析后缀token的梯度,识别对攻击目标影响最大的token,并优先优化这些token,从而减少不必要的计算和迭代。

技术框架:MAGIC方法在GCG的基础上进行改进,整体流程如下:1) 初始化对抗性后缀;2) 计算后缀token的梯度;3) 使用MAGIC索引选择需要优化的token;4) 更新选定的token;5) 重复步骤2-4,直到达到攻击目标或达到最大迭代次数。MAGIC的核心在于步骤3,即如何利用梯度信息选择需要优化的token。

关键创新:MAGIC最重要的技术创新点在于利用梯度信息构建索引,从而更有效地选择需要优化的token。与传统的GCG方法不同,MAGIC不是盲目地更新所有token,而是根据梯度大小和方向,选择对攻击目标影响最大的token进行优化。这种选择性优化策略能够显著减少计算量和迭代次数,从而加速攻击过程。

关键设计:MAGIC的关键设计包括:1) 梯度计算方式:使用LLM的梯度信息来评估每个后缀token对攻击目标的影响;2) 索引构建方式:根据梯度大小和方向,构建一个索引,用于选择需要优化的token;3) 更新策略:使用梯度上升或其他优化算法来更新选定的token。具体参数设置和损失函数选择取决于具体的LLM和攻击目标。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

MAGIC方法在AdvBench数据集上实现了高达1.5倍的加速,同时保持了与其他基线相当甚至更高的攻击成功率(ASR)。在Llama-2上实现了74%的ASR,在GPT-3.5上进行迁移攻击时实现了54%的ASR。这些结果表明,MAGIC方法能够显著提高LLM越狱攻击的效率,并具有良好的泛化能力。

🎯 应用场景

该研究成果可应用于评估和提升大语言模型的安全性,帮助开发者发现和修复模型中的安全漏洞。此外,该方法也可用于开发更高效的对抗训练方法,提高模型的鲁棒性。该研究对于保障AI系统的安全可靠运行具有重要意义。

📄 摘要(原文)

Despite the advancements in training Large Language Models (LLMs) with alignment techniques to enhance the safety of generated content, these models remain susceptible to jailbreak, an adversarial attack method that exposes security vulnerabilities in LLMs. Notably, the Greedy Coordinate Gradient (GCG) method has demonstrated the ability to automatically generate adversarial suffixes that jailbreak state-of-the-art LLMs. However, the optimization process involved in GCG is highly time-consuming, rendering the jailbreaking pipeline inefficient. In this paper, we investigate the process of GCG and identify an issue of Indirect Effect, the key bottleneck of the GCG optimization. To this end, we propose the Model Attack Gradient Index GCG (MAGIC), that addresses the Indirect Effect by exploiting the gradient information of the suffix tokens, thereby accelerating the procedure by having less computation and fewer iterations. Our experiments on AdvBench show that MAGIC achieves up to a 1.5x speedup, while maintaining Attack Success Rates (ASR) on par or even higher than other baselines. Our MAGIC achieved an ASR of 74% on the Llama-2 and an ASR of 54% when conducting transfer attacks on GPT-3.5. Code is available at https://github.com/jiah-li/magic.