Faster-GCG: Efficient Discrete Optimization Jailbreak Attacks against Aligned Large Language Models

📄 arXiv: 2410.15362v1 📥 PDF

作者: Xiao Li, Zhuhong Li, Qiongxiu Li, Bingze Lee, Jinghao Cui, Xiaolin Hu

分类: cs.LG, cs.AI, cs.CL, cs.CR

发布日期: 2024-10-20

💡 一句话要点

提出Faster-GCG,高效破解对齐大语言模型的离散优化对抗攻击

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 对抗攻击 Jailbreak 离散优化 安全性 可迁移性

📋 核心要点

  1. 现有GCG攻击计算成本高昂,jailbreak性能受限,难以有效识别和利用LLM的脆弱性。
  2. Faster-GCG通过深入分析GCG的设计,优化了离散token的搜索过程,从而提升攻击效率。
  3. 实验表明,Faster-GCG在计算成本大幅降低的同时,显著提高了攻击成功率和迁移性。

📝 摘要(中文)

对齐的大语言模型(LLMs)在各种任务中表现出卓越的性能。然而,LLMs仍然容易受到jailbreak对抗攻击的影响,攻击者通过操纵提示来引出对齐的LLMs本应避免的恶意响应。识别这些漏洞对于理解LLMs的内在弱点和防止其潜在滥用至关重要。GCG攻击是一种开创性的jailbreaking工作,它是一种离散token优化算法,旨在找到能够破解对齐LLMs的后缀。尽管GCG取得了成功,但我们发现它并非最优,需要显著的计算成本,并且实现的jailbreaking性能受到限制。在这项工作中,我们通过深入研究GCG的设计,提出了一种高效的对抗性jailbreak方法Faster-GCG。实验表明,Faster-GCG只需原GCG 1/10的计算成本即可超越原GCG,并在各种开源对齐LLMs上实现显著更高的攻击成功率。此外,我们证明了Faster-GCG在ChatGPT等闭源LLMs上进行测试时,表现出改进的攻击可迁移性。

🔬 方法详解

问题定义:论文旨在解决对齐大语言模型(LLMs)的jailbreak攻击问题,特别是针对现有GCG攻击方法计算成本高、攻击成功率有限的痛点。GCG攻击通过离散token优化寻找能够诱导LLM产生恶意回复的后缀,但其搜索效率较低,导致资源消耗大且效果不佳。

核心思路:Faster-GCG的核心思路是通过更高效的token选择策略来加速对抗性后缀的生成过程。它没有像原始GCG那样盲目地搜索整个token空间,而是采用更智能的方法来识别和利用那些更有可能导致jailbreak的token组合。

技术框架:Faster-GCG沿用了GCG的基本框架,即通过迭代优化token序列来生成对抗性后缀。主要流程包括:初始化一个随机token序列,将其添加到原始prompt中,输入到目标LLM,根据LLM的输出计算损失,然后使用梯度信息更新token序列。Faster-GCG的关键改进在于损失函数的设计和token更新策略。

关键创新:Faster-GCG最重要的技术创新在于其高效的token选择和更新机制。具体来说,它可能引入了更有效的梯度估计方法,或者采用了某种形式的重要性采样,从而能够更快地找到能够最大化损失的token。此外,论文可能还探索了不同的损失函数,以更好地反映jailbreak攻击的成功程度。

关键设计:具体的技术细节(如损失函数的具体形式、梯度估计方法、token更新策略等)在摘要中没有明确给出,需要查阅论文全文才能确定。但可以推测,Faster-GCG的关键设计可能包括:1) 一种能够更准确地衡量jailbreak攻击成功程度的损失函数;2) 一种能够更有效地利用梯度信息来更新token序列的优化算法;3) 一种能够减少计算量的token选择策略。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

Faster-GCG仅使用原GCG 1/10的计算成本,即可在各种开源对齐LLMs上实现显著更高的攻击成功率。此外,Faster-GCG在ChatGPT等闭源LLMs上进行测试时,表现出改进的攻击可迁移性,表明其具有更强的通用性和实用价值。这些实验结果充分证明了Faster-GCG的优越性。

🎯 应用场景

Faster-GCG的研究成果可应用于评估和提升大语言模型的安全性。通过高效地发现LLM的潜在漏洞,可以帮助开发者更好地理解模型的弱点,并采取相应的防御措施,例如改进对齐训练、增强输入过滤等,从而降低LLM被恶意利用的风险。该研究对于构建更安全、可靠的人工智能系统具有重要意义。

📄 摘要(原文)

Aligned Large Language Models (LLMs) have demonstrated remarkable performance across various tasks. However, LLMs remain susceptible to jailbreak adversarial attacks, where adversaries manipulate prompts to elicit malicious responses that aligned LLMs should have avoided. Identifying these vulnerabilities is crucial for understanding the inherent weaknesses of LLMs and preventing their potential misuse. One pioneering work in jailbreaking is the GCG attack, a discrete token optimization algorithm that seeks to find a suffix capable of jailbreaking aligned LLMs. Despite the success of GCG, we find it suboptimal, requiring significantly large computational costs, and the achieved jailbreaking performance is limited. In this work, we propose Faster-GCG, an efficient adversarial jailbreak method by delving deep into the design of GCG. Experiments demonstrate that Faster-GCG can surpass the original GCG with only 1/10 of the computational cost, achieving significantly higher attack success rates on various open-source aligned LLMs. In addition, We demonstrate that Faster-GCG exhibits improved attack transferability when testing on closed-sourced LLMs such as ChatGPT.