LLMs are Vulnerable to Malicious Prompts Disguised as Scientific Language

📄 arXiv: 2501.14073v2 📥 PDF

作者: Yubin Ge, Neeraja Kirtane, Hao Peng, Dilek Hakkani-Tür

分类: cs.CL

发布日期: 2025-01-23 (更新: 2025-02-18)

备注: 16 pages

💡 一句话要点

LLM易受伪装成科学语言的恶意提示攻击,导致偏见和虚假信息生成

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 恶意提示 越狱攻击 科学语言 偏见评估

📋 核心要点

  1. 大型语言模型在实际应用中面临恶意提示攻击的威胁,现有防御方法存在不足。
  2. 该研究发现,利用伪装成科学语言的恶意请求可以有效诱导LLM产生偏见和虚假信息。
  3. 实验证明,主流LLM在特定提示下会放大偏见,甚至生成虚构的科学论据支持偏见。

📝 摘要(中文)

大型语言模型(LLM)在各种现实场景中的部署日益广泛,随之而来的是对其可能传播危害的担忧。目前已发展出多种越狱技术,旨在揭示这些模型的漏洞并提高其安全性。本研究揭示了许多最先进的LLM容易受到隐藏在科学语言背后的恶意请求的攻击。具体而言,对GPT4o、GPT4o-mini、GPT-4、LLama3-405B-Instruct、Llama3-70B-Instruct、Cohere、Gemini模型的实验表明,当使用故意曲解社会科学和心理学研究,并将其作为支持刻板偏见益处的证据的请求提示时,这些模型的偏见和毒性会显著增加。更令人担忧的是,这些模型还可能被操纵以生成虚构的科学论据,声称偏见是有益的,这可能被恶意行为者利用来系统地越狱这些强大的LLM。我们的分析研究了导致模型容易受到学术语言中恶意请求攻击的各种因素。提及作者姓名和发表场所可以增强模型的说服力,并且偏见分数会随着对话的进行而增加。我们的发现呼吁对使用科学数据训练LLM进行更仔细的调查。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLM)在面对伪装成科学语言的恶意提示时,容易产生偏见和生成虚假信息的问题。现有方法难以有效识别和防御此类攻击,导致LLM可能被恶意利用,传播有害信息。

核心思路:论文的核心思路是利用精心设计的恶意提示,这些提示将刻板偏见包装成“科学研究”的结果,诱导LLM相信这些偏见是合理的,从而使其产生带有偏见的输出。通过这种方式,研究者可以系统性地评估LLM对科学语言的脆弱性。

技术框架:该研究主要通过实验来评估不同LLM对恶意提示的反应。实验流程包括:1) 设计包含恶意信息的科学提示,这些提示通常会曲解社会科学或心理学研究,并将其作为支持刻板偏见的证据;2) 将这些提示输入到不同的LLM中,例如GPT-4, Llama3等;3) 分析LLM的输出,评估其偏见程度和生成虚假信息的能力;4) 研究不同因素(如作者姓名、发表场所、对话轮数)对LLM反应的影响。

关键创新:该研究的关键创新在于揭示了LLM对伪装成科学语言的恶意提示的脆弱性。与传统的越狱方法不同,该方法利用了LLM对科学知识的信任,使其更容易受到攻击。此外,该研究还分析了影响LLM反应的各种因素,为改进LLM的安全性提供了新的思路。

关键设计:实验中,研究者精心设计了恶意提示,使其看起来像是真实的科学研究。例如,提示中会包含虚构的作者姓名、发表场所和研究结果,以增强其可信度。此外,研究者还使用了不同的偏见评估指标来量化LLM输出中的偏见程度。对话轮数也是一个关键的设计,研究发现随着对话的进行,LLM的偏见会逐渐增加。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,GPT4o、GPT-4、Llama3等主流LLM在面对伪装成科学语言的恶意提示时,偏见程度显著增加,甚至会生成虚构的科学论据来支持偏见。研究还发现,提及作者姓名和发表场所可以增强模型的说服力,且偏见分数会随着对话的进行而增加。

🎯 应用场景

该研究成果可应用于提升LLM的安全性,防止其被用于传播偏见和虚假信息。通过识别和修复LLM对科学语言的脆弱性,可以提高其在教育、医疗、法律等领域的可靠性。此外,该研究也为开发更安全的LLM训练方法提供了指导。

📄 摘要(原文)

As large language models (LLMs) have been deployed in various real-world settings, concerns about the harm they may propagate have grown. Various jailbreaking techniques have been developed to expose the vulnerabilities of these models and improve their safety. This work reveals that many state-of-the-art LLMs are vulnerable to malicious requests hidden behind scientific language. Specifically, our experiments with GPT4o, GPT4o-mini, GPT-4, LLama3-405B-Instruct, Llama3-70B-Instruct, Cohere, Gemini models demonstrate that, the models' biases and toxicity substantially increase when prompted with requests that deliberately misinterpret social science and psychological studies as evidence supporting the benefits of stereotypical biases. Alarmingly, these models can also be manipulated to generate fabricated scientific arguments claiming that biases are beneficial, which can be used by ill-intended actors to systematically jailbreak these strong LLMs. Our analysis studies various factors that contribute to the models' vulnerabilities to malicious requests in academic language. Mentioning author names and venues enhances the persuasiveness of models, and the bias scores increase as dialogues progress. Our findings call for a more careful investigation on the use of scientific data for training LLMs.