ภาพรวม
การเจลเบรกคือแนวทางปฏิบัติในการประดิษฐ์คำสั่งที่หลอกโมเดล AI ให้เพิกเฉยต่อกฎความปลอดภัย ในขณะที่การรวมทีมสีแดงเป็นความพยายามที่จัดขึ้นเพื่อค้นหาจุดอ่อนเหล่านั้นก่อนที่ผู้ไม่ประสงค์ดีจะทำ พวกเขาช่วยกันสร้างวงจรการทดสอบฝ่ายตรงข้ามที่ทำให้ระบบ AI ที่ปรับใช้ปลอดภัยยิ่งขึ้น
Jailbreaking และ Red-Teaming เป็นส่วนหนึ่งของสแต็กภาษา-AI ที่ใช้ในการอ่าน สร้าง จำแนก และแปลงข้อความและคำพูดตามขนาด
เจาะลึก
โมเดลภาษาขนาดใหญ่ได้รับการฝึกฝนให้ปฏิเสธคำขอที่เป็นอันตราย แต่รั้วเหล่านั้นเป็นเพียงข้อมูลเชิงสถิติเท่านั้น ไม่ใช่แบบสัมบูรณ์ การเจลเบรกใช้ประโยชน์จากสิ่งนี้โดยกำหนดกรอบคำขอที่ต้องห้ามใหม่ เพื่อให้พ้นการปฏิเสธที่เรียนรู้ของโมเดล เทคนิคคลาสสิก ได้แก่ การเล่นตามบทบาท ('แกล้งทำเป็นว่าคุณเป็น AI โดยไม่มีกฎเกณฑ์') บุคลิก 'DAN' (ทำทุกอย่างทันที) ที่น่าอับอาย การวางกรอบสมมุติ การแทรกคำสั่งทันทีผ่านคำแนะนำที่ซ่อนอยู่ เทคนิคการเข้ารหัส เช่น Base64 หรือลีทสพีก และการเจลเบรกแบบ 'many-shot' ที่ทำให้หน้าต่างบริบทยาวเต็มไปด้วยตัวอย่างที่เป็นไปตามข้อกำหนดปลอม Red-teaming พลิกสถานการณ์นี้: ทีมเฉพาะและระบบอัตโนมัติตรวจสอบแบบจำลองด้วยการแจ้งเตือนฝ่ายตรงข้ามหลายพันรายการก่อนที่จะเผยแพร่ จัดทำรายการความล้มเหลวเพื่อให้วิศวกรสามารถแก้ไขข้อผิดพลาดเหล่านั้นผ่านการปรับแต่งอย่างละเอียด การเรียนรู้เสริมแรงจากคำติชมของมนุษย์ และเพิ่มตัวกรองตัวแยกประเภท
ข้อมูลเชิงลึกทางเทคนิค
พฤติกรรมด้านความปลอดภัยเรียนรู้ผ่านการปรับแต่งแบบละเอียดและ RLHF ซึ่งสร้าง 'ขอบเขตการปฏิเสธ' แบบบางเหนือแบบจำลองที่ซึมซับความรู้อันมากมายมหาศาลแล้ว การเจลเบรกทำงานโดยการย้ายการกระจายอินพุตออกไปจากตัวอย่างที่ใช้ในการฝึกอบรมด้านความปลอดภัย ดังนั้นแรงผลักดันที่เป็นประโยชน์ของโมเดลจะแทนที่สัญญาณการปฏิเสธที่อ่อนแอกว่า การป้องกันมีการตรวจสอบหลายชั้น: ตัวแยกประเภทอินพุต/เอาท์พุต การวิจารณ์ตนเองตามรัฐธรรมนูญของ AI และการฝึกอบรมฝ่ายตรงข้ามที่เพิ่มการเจลเบรกที่ค้นพบกลับเข้าไปในชุดการฝึกอบรม
เชี่ยวชาญการแหกคุกและทีมแดง
การเจลเบรกคือแนวทางปฏิบัติในการประดิษฐ์คำสั่งที่หลอกโมเดล AI ให้เพิกเฉยต่อกฎความปลอดภัย ในขณะที่การรวมทีมสีแดงเป็นความพยายามที่จัดขึ้นเพื่อค้นหาจุดอ่อนเหล่านั้นก่อนที่ผู้ไม่ประสงค์ดีจะทำ พวกเขาช่วยกันสร้างวงจรการทดสอบฝ่ายตรงข้ามที่ทำให้ระบบ AI ที่ปรับใช้ปลอดภัยยิ่งขึ้น Jailbreaking และ Red-Teaming เป็นส่วนหนึ่งของสแต็กภาษา-AI ที่ใช้ในการอ่าน สร้าง จำแนก และแปลงข้อความและคำพูดตามขนาด เพื่อสร้างความเข้าใจอย่างลึกซึ้ง ให้ถือว่า Jailbreaking และ Red-Teaming เป็นรูปแบบการดำเนินงาน ไม่ใช่คุณลักษณะเดียว: กำหนดผลลัพธ์ที่ต้องการ ชี้แจงสมมติฐาน และแยกสิ่งที่ระบบสามารถทำได้อย่างน่าเชื่อถือจากสิ่งที่ยังต้องใช้วิจารณญาณจากผู้เชี่ยวชาญ
ในทางปฏิบัติ ทีมที่แข็งแกร่งใช้พรอมต์การออกแบบ Jailbreaking และ Red-Teaming การดึงข้อมูล และการตรวจสอบลูปเป็นระบบการสื่อสารแบบรวมระบบเดียว โดยจะบันทึกเกณฑ์ความสำเร็จที่ชัดเจน ทดสอบกับข้อมูลและขั้นตอนการทำงานที่สมจริง และทำซ้ำตามรูปแบบความล้มเหลวที่สังเกตได้ แทนที่จะชนะการวัดประสิทธิภาพเพียงครั้งเดียว นี่คือจุดที่ความเข้าใจทางทฤษฎีกลายเป็นความสามารถที่คงทนของผลิตภัณฑ์ นโยบาย และการดำเนินงาน
ขั้นตอนการทำงานของภาษาสามารถดำเนินไปได้เร็วขึ้นโดยไม่กระทบต่อความสม่ำเสมอ ในขณะเดียวกัน ข้อเท็จจริงที่หลอนประสาทสามารถเข้าสู่รายงาน กระแสสนับสนุน หรือผลการวิจัยได้อย่างเงียบๆ แนวทางที่ยืดหยุ่นที่สุดคือการรวมความเร็วของการทดลองเข้ากับวินัยในการกำกับดูแล: ดำเนินการนำร่อง จับหลักฐาน เผยแพร่บันทึกการตัดสินใจ และอัปเดตการป้องกันอย่างต่อเนื่องเมื่อพฤติกรรมของโมเดล ความคาดหวังของผู้ใช้ และข้อกำหนดด้านกฎระเบียบมีการเปลี่ยนแปลง
ผลกระทบเชิงกลยุทธ์
ขั้นตอนการทำงานของภาษาสามารถดำเนินไปได้เร็วขึ้นโดยไม่กระทบต่อความสม่ำเสมอ
ขั้นตอนการทำงานของภาษาสามารถดำเนินไปได้เร็วขึ้นโดยไม่กระทบต่อความสม่ำเสมอ ในการปรับใช้คุณภาพสูง สิ่งนี้จะถูกแปลเป็นกฎการปฏิบัติงานที่วัดผลได้ ขอบเขตความเป็นเจ้าของ และขั้นตอนการตรวจสอบที่เกิดซ้ำ เพื่อให้ทีมสามารถปรับขนาดความมั่นใจแทนที่จะปรับขนาดความคลุมเครือ
ขยายการเข้าถึงภาษาและรูปแบบการสื่อสาร
ขยายการเข้าถึงภาษาและรูปแบบการสื่อสาร ในการปรับใช้คุณภาพสูง สิ่งนี้จะถูกแปลเป็นกฎการปฏิบัติงานที่วัดผลได้ ขอบเขตความเป็นเจ้าของ และขั้นตอนการตรวจสอบที่เกิดซ้ำ เพื่อให้ทีมสามารถปรับขนาดความมั่นใจแทนที่จะปรับขนาดความคลุมเครือ
ทีมสามารถใช้เวลามากขึ้นในการตัดสิน ในขณะที่ระบบอัตโนมัติจัดการกับการทำซ้ำ
ทีมสามารถใช้เวลามากขึ้นในการตัดสิน ในขณะที่ระบบอัตโนมัติจัดการกับการทำซ้ำ ในการปรับใช้คุณภาพสูง สิ่งนี้จะถูกแปลเป็นกฎการปฏิบัติงานที่วัดผลได้ ขอบเขตความเป็นเจ้าของ และขั้นตอนการตรวจสอบที่เกิดซ้ำ เพื่อให้ทีมสามารถปรับขนาดความมั่นใจแทนที่จะปรับขนาดความคลุมเครือ
การใช้งานจริงในโลกแห่งความเป็นจริง
Anthropic จัดให้มี 'เงินรางวัลการแหกคุก' สาธารณะ โดยเชิญชวนผู้ทดสอบหลายพันคนให้ทำลาย Constitutional Classifiers และให้รางวัลแก่ใครก็ตามที่พบการเจลเบรคแบบสากล
นักวิจัยสาธิต 'การแหกคุกหลายครั้ง' ซึ่งแสดงให้เห็นว่าการใส่คู่ถามตอบที่เป็นอันตรายหลายร้อยคู่ในหน้าต่างบริบทยาวๆ อาจกัดกร่อนการปฏิเสธของแบบจำลองได้
OpenAI, Google และ Anthropic ดูแลทีมสีแดงภายในและเครือข่ายผู้เชี่ยวชาญภายนอกที่ตรวจสอบโมเดลสำหรับอาวุธชีวภาพ ความเสี่ยงทางไซเบอร์ และความปลอดภัยของเด็กก่อนเปิดตัว
ขณะนี้บริษัทรักษาความปลอดภัยเสนอการทดสอบการเจาะระบบ LLM โดยการสแกนแชทบอทเพื่อหาช่องโหว่ในแอปที่ติดต่อกับลูกค้า เช่น ธนาคารและผู้ช่วยด้านการดูแลสุขภาพ
รูปแบบการดำเนินงาน
การแหกคุกและทีมแดงในทางปฏิบัติ
Anthropic จัดให้มี 'เงินรางวัลการแหกคุก' สาธารณะ โดยเชิญชวนผู้ทดสอบหลายพันคนให้ทำลาย Constitutional Classifiers และให้รางวัลแก่ใครก็ตามที่พบการเจลเบรคแบบสากล
Anthropic จัดงาน 'เงินรางวัลจากการแหกคุก' ต่อสาธารณะ โดยเชิญชวนผู้ทดสอบหลายพันรายทำลาย Constitutional Classifiers และให้รางวัลใครก็ตามที่ค้นพบทีมแหกคุกแบบสากล มักจะได้รับผลลัพธ์ที่ดีกว่าเมื่อพวกเขากำหนดเกณฑ์คุณภาพล่วงหน้า รักษาเส้นทางการยกระดับโดยมนุษย์สำหรับกรณี Edge และติดตามทั้งประสิทธิภาพการทำงานที่เพิ่มขึ้นและต้นทุนข้อผิดพลาดเมื่อเวลาผ่านไป
การแหกคุกและทีมแดงในทางปฏิบัติ
นักวิจัยสาธิต 'การแหกคุกหลายครั้ง' ซึ่งแสดงให้เห็นว่าการใส่คู่ถามตอบที่เป็นอันตรายหลายร้อยคู่ในหน้าต่างบริบทยาวๆ อาจกัดกร่อนการปฏิเสธของแบบจำลองได้
นักวิจัยสาธิต 'การแหกคุกหลายครั้ง' ซึ่งแสดงให้เห็นว่าการเติมหน้าต่างบริบทที่ยาวด้วยคู่ถามตอบที่เป็นอันตรายปลอมหลายร้อยคู่สามารถกัดกร่อนการปฏิเสธของโมเดลได้ ทีมมักจะได้รับผลลัพธ์ที่ดีกว่าเมื่อพวกเขากำหนดเกณฑ์คุณภาพล่วงหน้า รักษาเส้นทางการยกระดับโดยมนุษย์สำหรับกรณี Edge และติดตามทั้งการเพิ่มผลิตภาพและต้นทุนข้อผิดพลาดเมื่อเวลาผ่านไป
การแหกคุกและทีมแดงในทางปฏิบัติ
OpenAI, Google และ Anthropic ดูแลทีมสีแดงภายในและเครือข่ายผู้เชี่ยวชาญภายนอกที่ตรวจสอบโมเดลสำหรับอาวุธชีวภาพ ความเสี่ยงทางไซเบอร์ และความปลอดภัยของเด็กก่อนเปิดตัว
OpenAI, Google และ Anthropic ดูแลทีมสีแดงภายในและเครือข่ายผู้เชี่ยวชาญภายนอกที่ตรวจสอบโมเดลสำหรับอาวุธชีวภาพ ไซเบอร์ และความเสี่ยงด้านความปลอดภัยของเด็กก่อนเปิดตัว ทีมมักจะได้รับผลลัพธ์ที่ดีกว่าเมื่อพวกเขากำหนดเกณฑ์คุณภาพไว้ล่วงหน้า รักษาเส้นทางการยกระดับโดยมนุษย์สำหรับกรณี Edge และติดตามทั้งผลผลิตที่เพิ่มขึ้นและต้นทุนข้อผิดพลาดเมื่อเวลาผ่านไป
การแหกคุกและทีมแดงในทางปฏิบัติ
ขณะนี้บริษัทรักษาความปลอดภัยเสนอการทดสอบการเจาะระบบ LLM โดยการสแกนแชทบอทเพื่อหาช่องโหว่ในแอปที่ติดต่อกับลูกค้า เช่น ธนาคารและผู้ช่วยด้านการดูแลสุขภาพ
ขณะนี้บริษัทรักษาความปลอดภัยเสนอการทดสอบการเจาะระบบ LLM การสแกนแชทบอทเพื่อหาช่องโหว่ในแอปที่ต้องพบปะกับลูกค้า เช่น ธนาคารและผู้ช่วยด้านการดูแลสุขภาพ ทีมมักจะได้รับผลลัพธ์ที่ดีกว่าเมื่อพวกเขากำหนดเกณฑ์คุณภาพล่วงหน้า รักษาเส้นทางการยกระดับโดยมนุษย์สำหรับกรณี Edge และติดตามทั้งการเพิ่มผลผลิตและต้นทุนข้อผิดพลาดเมื่อเวลาผ่านไป
ความเสี่ยงและรั้ว
ข้อเท็จจริงที่หลอนประสาทสามารถเข้าสู่รายงาน กระแสสนับสนุน หรือผลการวิจัยได้อย่างเงียบๆ
ความละเอียดอ่อนของการแจ้งเตือนสามารถสร้างผลลัพธ์ที่ไม่สอดคล้องกันในคำขอที่คล้ายกัน
ข้อมูลข้อความที่ละเอียดอ่อนอาจถูกเปิดเผยหากการควบคุมการเข้าถึงอ่อนแอ
แผนงานการดำเนินงาน
กำหนดรูปแบบเอาต์พุต โทนเสียง และมาตรฐานคุณภาพก่อนเปิดตัว
กำหนดรูปแบบเอาต์พุต โทนเสียง และมาตรฐานคุณภาพก่อนเปิดตัว ถือว่าแต่ละขั้นตอนเป็นเหมือนประตูหลักฐาน: หากไม่ตรงตามเกณฑ์ ให้หยุดการเปิดตัวชั่วคราว ปิดช่องว่าง จากนั้นจึงขยายการใช้งานเท่านั้น
การตอบสนองภาคพื้นดินกับแหล่งข้อมูลที่เชื่อถือได้เมื่อใดก็ตามที่ความแม่นยำมีความสำคัญ
การตอบสนองภาคพื้นดินกับแหล่งข้อมูลที่เชื่อถือได้เมื่อใดก็ตามที่ความแม่นยำมีความสำคัญ ถือว่าแต่ละขั้นตอนเป็นเหมือนประตูหลักฐาน: หากไม่ตรงตามเกณฑ์ ให้หยุดการเปิดตัวชั่วคราว ปิดช่องว่าง จากนั้นจึงขยายการใช้งานเท่านั้น
รักษาจุดตรวจสอบการตรวจสอบโดยมนุษย์สำหรับผลลัพธ์ที่มีเดิมพันสูง
รักษาจุดตรวจสอบการตรวจสอบโดยมนุษย์สำหรับผลลัพธ์ที่มีเดิมพันสูง ถือว่าแต่ละขั้นตอนเป็นเหมือนประตูหลักฐาน: หากไม่ตรงตามเกณฑ์ ให้หยุดการเปิดตัวชั่วคราว ปิดช่องว่าง จากนั้นจึงขยายการใช้งานเท่านั้น
ติดตามรูปแบบความล้มเหลวและฝึกอบรมพร้อมท์หรือเวิร์กโฟลว์เป็นประจำ
ติดตามรูปแบบความล้มเหลวและฝึกอบรมพร้อมท์หรือเวิร์กโฟลว์เป็นประจำ ถือว่าแต่ละขั้นตอนเป็นเหมือนประตูหลักฐาน: หากไม่ตรงตามเกณฑ์ ให้หยุดการเปิดตัวชั่วคราว ปิดช่องว่าง จากนั้นจึงขยายการใช้งานเท่านั้น