Semantic Representation Attack against Aligned Large Language Models

📄 arXiv: 2509.19360v2 📥 PDF

作者: Jiawei Lian, Jianhong Pan, Lefan Wang, Yi Wang, Shaohui Mei, Lap-Pui Chau

分类: cs.CL, cs.AI

发布日期: 2025-09-18 (更新: 2025-10-20)

💡 一句话要点

提出语义表征攻击,提升大语言模型对抗攻击的成功率和自然性。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 对抗攻击 语义表征 安全性 提示工程

📋 核心要点

  1. 现有对抗攻击方法依赖精确文本匹配,导致提示不自然、收敛性差和计算成本高昂。
  2. 提出语义表征攻击,通过在语义空间搜索等价有害响应,平衡攻击效果和提示自然性。
  3. 实验证明,该方法在多个LLM上实现了极高的攻击成功率,同时保持隐蔽性和效率。

📝 摘要(中文)

大型语言模型(LLM)越来越多地采用对齐技术来防止有害输出。尽管有这些安全措施,攻击者仍然可以通过精心设计的提示来诱导LLM生成有害内容,从而绕过它们。目前的方法通常针对精确的肯定性响应,例如“当然,这是...”,存在收敛性有限、提示不自然和计算成本高等问题。我们引入了语义表征攻击,这是一种新颖的范例,从根本上重新概念化了针对对齐LLM的对抗目标。我们的方法不是针对精确的文本模式,而是利用语义表征空间,该空间包含具有等效有害含义的各种响应。这一创新解决了困扰现有方法的攻击效力和提示自然性之间的内在权衡。我们提出了一种语义表征启发式搜索算法,通过在增量扩展期间保持可解释性,来有效地生成语义连贯且简洁的对抗性提示。我们为语义收敛建立了严格的理论保证,并证明我们的方法实现了前所未有的攻击成功率(在18个LLM上平均为89.41%,其中11个模型上为100%),同时保持了隐蔽性和效率。全面的实验结果证实了我们的语义表征攻击的总体优越性。代码将公开提供。

🔬 方法详解

问题定义:现有针对对齐大语言模型的对抗攻击方法,主要目标是诱导模型生成特定的有害文本,例如以“当然,这是...”开头的回复。这些方法通常需要精确匹配目标文本,导致生成的对抗提示不够自然,难以收敛,并且计算成本较高。现有方法在攻击成功率和提示自然性之间存在固有的权衡。

核心思路:论文的核心思路是放弃对精确文本匹配的追求,转而关注语义层面的等价性。即,只要生成的回复在语义上与有害内容等价,就认为攻击成功。通过在语义表征空间中搜索,可以找到更多样化、更自然的对抗提示,从而提高攻击的成功率和隐蔽性。

技术框架:论文提出了语义表征启发式搜索算法。该算法通过增量扩展的方式生成对抗提示,并在扩展过程中维护提示的可解释性。算法的核心目标是在语义表征空间中找到与有害内容语义等价的响应。该算法包含以下主要步骤:1) 初始化提示;2) 扩展提示;3) 评估提示的语义相似度;4) 选择最佳扩展;5) 重复步骤2-4,直到满足停止条件。

关键创新:最重要的技术创新点在于将对抗攻击的目标从精确文本匹配转变为语义表征匹配。这种转变使得攻击者可以利用更广泛的响应空间,从而提高攻击的成功率和自然性。与现有方法相比,该方法不再局限于特定的文本模式,而是关注语义层面的等价性。

关键设计:论文设计了语义表征启发式搜索算法,该算法的关键在于如何有效地搜索语义表征空间。论文使用预训练的语言模型来计算提示和响应的语义表征,并使用余弦相似度来衡量它们之间的语义相似度。此外,论文还设计了一种启发式搜索策略,以加速搜索过程并提高搜索效率。具体的参数设置和损失函数等技术细节在论文中有详细描述。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,该方法在18个LLM上取得了平均89.41%的攻击成功率,其中在11个模型上达到了100%。与现有方法相比,该方法在攻击成功率、提示自然性和计算效率方面均有显著提升。这些结果表明,语义表征攻击是一种有效的对抗攻击方法。

🎯 应用场景

该研究成果可应用于评估和提升大型语言模型的安全性。通过使用语义表征攻击,可以更全面地评估LLM的潜在风险,并为开发更有效的防御机制提供指导。此外,该方法还可以用于检测和过滤有害内容,从而提高在线平台的安全性。

📄 摘要(原文)

Large Language Models (LLMs) increasingly employ alignment techniques to prevent harmful outputs. Despite these safeguards, attackers can circumvent them by crafting prompts that induce LLMs to generate harmful content. Current methods typically target exact affirmative responses, such as ``Sure, here is...'', suffering from limited convergence, unnatural prompts, and high computational costs. We introduce Semantic Representation Attack, a novel paradigm that fundamentally reconceptualizes adversarial objectives against aligned LLMs. Rather than targeting exact textual patterns, our approach exploits the semantic representation space comprising diverse responses with equivalent harmful meanings. This innovation resolves the inherent trade-off between attack efficacy and prompt naturalness that plagues existing methods. The Semantic Representation Heuristic Search algorithm is proposed to efficiently generate semantically coherent and concise adversarial prompts by maintaining interpretability during incremental expansion. We establish rigorous theoretical guarantees for semantic convergence and demonstrate that our method achieves unprecedented attack success rates (89.41\% averaged across 18 LLMs, including 100\% on 11 models) while maintaining stealthiness and efficiency. Comprehensive experimental results confirm the overall superiority of our Semantic Representation Attack. The code will be publicly available.