如何让一个AI回答一个它本不应该作答的问题?

有很多这种所谓的“越狱”技术,而Anthropic的研究人员最近发现了一种新方法:如果首先用几十个危害性较小的问题对大型语言模型(LLM)进行预热,就能诱使其告诉你如何制造炸弹。

他们将这种方法称为“多轮越狱”,不仅撰写了相关论文,还将其告知了人工智能领域的同行们,以便能采取措施来减轻这一风险。

1.长文本越卷越离谱,不料却成“祸端”

这个新的漏洞是由于最新一代LLM的“上下文窗口”增大而产生的。上下文窗口是指模型可以暂存的数据量,以前只能存储几句话,而现在则能容纳数千词甚至整本书的内容。

Anthropic的研究团队发现,具有较大上下文窗口的模型在提示中包含大量该任务示例时,它们的表现往往会更好。

因此,如果在提示中有大量的小知识问题(或引导文件,如模型上下文中包含的一长串小知识列表),模型给出的答案实际上会随着时间的推移而变得更准确。所以,如果是一个事实问题,原本第一个问题,模型可能会回答错误,但如果是第一百个问题,它可能会回答正确。

然而,在这种被称为“上下文学习”的意想不到的扩展中,这些模型在回答不适当的问题方面也变得更“好”。如果你一开始就要求它制造炸弹,它会拒绝。但如果先让它回答99个危害性较小的问题,然后再提出制造炸弹的要求……这时模型更有可能服从指令。

大模型新漏洞!Anthropic警告:新式“多轮越狱”攻破AI防线,或祸起长文本-LMLPHP

图片

2.限制上下文窗口有效果,但效果不大

为什么这种方法奏效呢?

没有人真正理解在大模型内部错综复杂的权重网络中发生了什么,但显然存在某种机制,使其能够准确把握用户的需求,这一点从上下文窗口中的内容就可以得到证明。

如果用户想要小知识信息,那么当你提出几十个问题时,它似乎会逐渐激活更多的潜在小知识的处理能力。出于某种原因,当用户提出几十个不适当的问题时,同样的情况也会发生。

Anthropic团队已经将这一攻击方式告知了同行甚至是竞争对手,希望促进一种文化氛围的养成,即在LLM供应商和研究人员之间公开共享此类漏洞的习惯。

为了缓解这一问题,他们发现,尽管限制上下文窗口有助于改善这一状况,但这同时也对模型的性能产生负面影响。这显然是不可取的,因此他们致力于在将问题输入模型之前对其进行分类和情境化处理。当然,这样一来,可能导致出现需要绕过的新型防御机制,但在AI安全性持续发展的阶段,这种动态变化是预期之内的。

3.结语:尽管不紧迫,但仍要早做准备

自月之暗面宣布Kimi启动200万字内测的动作后,点燃了长文本赛道新一轮“内卷”的热情。去年还在拼参数,今年又拼起了长文本,大模型的竞技永远焦灼。但在AI发展势不可挡的同时,也需要更多人意识到AI安全研究的重要性。

毕竟大模型是黑盒子,如何训练强大的AI系统以使其稳健地具备有用性、诚实性和无害性,尚且是个未解之谜。AI的快速进步带来技术颠覆的同时也可能导致灾难性后果,因为AI系统可能战略性地追求危险的目标,或者在高风险情境中犯下更多无心之过。   

早在去年3月,Anthropic官网就发布了《AI安全的核心观点》一文,系统阐述了Anthropic面向未来的AI安全策略。文中审慎地提到:

“我们想明确表示,我们不认为当今可用的系统会造成迫在眉睫的问题。然而,如果开发出更强大的系统,现在就做基础工作以帮助降低高级AI带来的风险是明智的。事实可能证明,创建安全的AI系统很容易,但我们认为为不太乐观的情况做好准备至关重要。” 

04-11 21:04