概述
越獄是一種精心設計提示的做法,欺騙人工智慧模型忽略其安全規則,而紅隊則是在不良行為者發現這些弱點之前有組織的努力。它們共同構成了對抗性測試循環,使部署的人工智慧系統更加安全。
越獄和紅隊是語言人工智慧堆疊的一部分,用於大規模讀取、生成、分類和轉換文字和語音。
深入探討
大型語言模型經過訓練可以拒絕有害請求,但這些防護措施是統計性的,而不是絕對的。越獄透過重新建構禁止的請求來利用這一點,使其繞過模型習得的拒絕。經典技術包括角色扮演(「假裝你是一個沒有規則的人工智慧」)、臭名昭著的「DAN」(立即做任何事情)角色、假設框架、透過隱藏指令進行提示注入、Base64 或 leetspeak 等編碼技巧,以及用虛假的合規示例淹沒長上下文視窗的「多次」越獄。紅隊則扭轉了這一局面:專門的團隊和自動化系統在發布前用數千個對抗性提示來探測模型,對失敗進行分類,以便工程師可以通過微調、根據人類反饋進行強化學習以及添加分類器過濾器來修補它們。
技術洞察
安全行為是透過微調和 RLHF 來學習的,在已經吸收了大量知識的模型上創建了一個細小的「拒絕邊界」。越獄的工作原理是將輸入分佈從安全訓練期間使用的範例中轉移出來,因此模型的幫助驅動力會覆蓋其較弱的拒絕訊號。防禦層進行多重檢查:輸入/輸出分類器、憲法人工智慧自我批評以及將發現的越獄添加回訓練集中的對抗性訓練。
掌握越獄和紅隊
越獄是一種精心設計提示的做法,欺騙人工智慧模型忽略其安全規則,而紅隊則是在不良行為者發現這些弱點之前有組織的努力。它們共同構成了對抗性測試循環,使部署的人工智慧系統更加安全。越獄和紅隊是語言人工智慧堆疊的一部分,用於大規模讀取、生成、分類和轉換文字和語音。為了建立深入的理解,請將越獄和紅隊視為一種操作模型,而不是單一功能:定義期望的結果,澄清假設,並將系統可以可靠地執行的操作與仍需要專家判斷的操作分開。
在實踐中,強大的團隊使用越獄和紅隊設計提示、檢索和審查循環作為一個整合的通訊系統。他們記錄明確的成功標準,根據實際數據和工作流程進行測試,並根據觀察到的失敗模式而不是一次性基準測試勝利進行迭代。這就是理論理解轉變為跨產品、政策和營運的持久能力的地方。
語言工作流程可以在不犧牲一致性的情況下更快地移動。同時,幻覺事實可以悄悄地進入報告、支持流程或研究成果。最具彈性的方法是將實驗速度與治理規則結合:運行試點、捕獲證據、發布決策日誌,並隨著模型行為、使用者期望和監管要求的發展不斷更新保障措施。
戰略影響
語言工作流程可以在不犧牲一致性的情況下更快地移動。
語言工作流程可以在不犧牲一致性的情況下更快地移動。在高品質部署中,這會轉化為可衡量的操作規則、所有權邊界和定期審查儀式,以便團隊可以增強信心,而不是擴大模糊性。
它擴展了跨語言和溝通方式的訪問。
它擴展了跨語言和溝通方式的訪問。在高品質部署中,這會轉化為可衡量的操作規則、所有權邊界和定期審查儀式,以便團隊可以增強信心,而不是擴大模糊性。
團隊可以花更多時間進行判斷,而自動化則可以處理重複。
團隊可以花更多時間進行判斷,而自動化則可以處理重複。在高品質部署中,這會轉化為可衡量的操作規則、所有權邊界和定期審查儀式,以便團隊可以增強信心,而不是擴大模糊性。
現實世界的實施
Anthropic 進行了公開的“越獄賞金”,邀請數千名測試人員打破其憲法分類器,並獎勵任何發現通用越獄的人。
研究人員演示了“多次越獄”,表明用數百個虛假的有害問答對填充長上下文窗口可能會削弱模型的拒絕能力。
OpenAI、Google 和 Anthropic 維護內部紅隊和外部專家網絡,在模型發布前探測生物武器、網絡和兒童安全風險。
安全公司現在提供法學碩士滲透測試,掃描聊天機器人以查找銀行和醫療助理等面向客戶的應用程式中的提示注入漏洞。
實施模式
越獄和紅隊實踐
Anthropic 進行了公開的“越獄賞金”,邀請數千名測試人員打破其憲法分類器,並獎勵任何發現通用越獄的人。
Anthropic 進行了公開的“越獄賞金”,邀請數千名測試人員打破其憲法分類器,並獎勵任何發現通用越獄的人。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並隨著時間的推移追蹤生產力增益和錯誤成本時,通常會得到更好的結果。
越獄和紅隊實踐
研究人員演示了“多次越獄”,表明用數百個虛假的有害問答對填充長上下文窗口可能會削弱模型的拒絕能力。
研究人員演示了“多次越獄”,表明用數百個虛假的有害問答對填充一個長上下文視窗可能會削弱模型的拒絕能力。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並隨著時間的推移追蹤生產力增益和錯誤成本時,通常會得到更好的結果。
越獄和紅隊實踐
OpenAI、Google 和 Anthropic 維護內部紅隊和外部專家網絡,在模型發布前探測生物武器、網絡和兒童安全風險。
OpenAI、Google 和 Anthropic 維護內部紅隊和外部專家網絡,在發布前探測生物武器、網絡和兒童安全風險的模型。當團隊預先定義品質閾值、為邊緣情況保留人為升級路徑並隨著時間的推移追蹤生產力增益和錯誤成本時,通常會獲得更好的結果。
越獄和紅隊實踐
安全公司現在提供法學碩士滲透測試,掃描聊天機器人以查找銀行和醫療助理等面向客戶的應用程式中的提示注入漏洞。
安全公司現在提供 LLM 滲透測試,掃描聊天機器人以查找銀行和醫療助理等面向客戶的應用程式中的即時注入漏洞。當團隊預先定義品質閾值、為邊緣情況保留人工升級路徑並隨著時間的推移追蹤生產力增益和錯誤成本時,通常會得到更好的結果。
風險與防護欄
幻覺的事實可以悄悄地進入報告、支持流程或研究成果。
及時的敏感性可能會在類似的請求中產生不一致的結果。
如果存取控制薄弱,敏感文字資料可能會暴露。
實施路線圖
在推出之前定義輸出格式、語氣和品質標準。
在推出之前定義輸出格式、語氣和品質標準。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。
當準確性很重要時,請使用可信任來源進行地面回應。
當準確性很重要時,請使用可信任來源進行地面回應。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。
為高風險輸出保留人工審查檢查點。
為高風險輸出保留人工審查檢查點。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。
追蹤故障模式並定期重新訓練提示或工作流程。
追蹤故障模式並定期重新訓練提示或工作流程。將每個步驟視為證據門:如果不符合標準,則暫停推出,縮小差距,然後再擴大使用。