会员服务
攻击 · 基准 · 黑盒 · 拒绝服务攻击 · 黑盒攻击 ·
1 月 17 日
Prompt-Induced Over-Generation as Denial-of-Service: A Black-Box Attack-Side Benchmark
翻译:诱导过度生成作为拒绝服务攻击:一种黑盒攻击侧基准测试
Manu,Yi Guo,Kanchana Thilakarathna,Nirhoshan Sivaroopan,Jo Plested,Tim Lynar,Jack Yang,Wangli Yang
Manu,Yi Guo,Kanchana Thilakarathna,Nirhoshan Sivaroopan,Jo Plested,Tim Lynar,Jack Yang,Wangli Yang
from arxiv, 17 pages, 5 figures

Large Language Models (LLMs) can be driven into over-generation, emitting thousands of tokens before producing an end-of-sequence (EOS) token. This degrades answer quality, inflates latency and cost, and can be weaponized as a denial-of-service (DoS) attack. Recent work has begun to study DoS-style prompt attacks, but typically focuses on a single attack algorithm or assumes white-box access, without an attack-side benchmark that compares prompt-based attackers in a black-box, query-only regime with a known tokenizer. We introduce such a benchmark and study two prompt-only attackers. The first is an Evolutionary Over-Generation Prompt Search (EOGen) that searches the token space for prefixes that suppress EOS and induce long continuations. The second is a goal-conditioned reinforcement learning attacker (RL-GOAL) that trains a network to generate prefixes conditioned on a target length. To characterize behavior, we introduce Over-Generation Factor (OGF): the ratio of produced tokens to a model's context window, along with stall and latency summaries. EOGen discovers short-prefix attacks that raise Phi-3 to OGF = 1.39 +/- 1.14 (Success@>=2: 25.2%); RL-GOAL nearly doubles severity to OGF = 2.70 +/- 1.43 (Success@>=2: 64.3%) and drives budget-hit non-termination in 46% of trials.


翻译:大型语言模型(LLMs)可能被诱导进入过度生成状态,在生成序列结束(EOS)标记前输出数千个标记。这会降低回答质量、增加延迟与成本,并可被武器化为拒绝服务(DoS)攻击。近期研究已开始关注DoS式提示攻击,但通常仅针对单一攻击算法或假设白盒访问权限,缺乏在已知分词器的黑盒、仅查询场景下比较基于提示的攻击者的攻击侧基准。我们提出了此类基准,并研究了两种仅提示攻击方法。第一种是进化式过度生成提示搜索(EOGen),该方法在标记空间中搜索能抑制EOS并诱导长序列延续的前缀。第二种是基于目标条件强化学习的攻击者(RL-GOAL),其训练网络生成以目标长度为条件的前缀。为量化攻击行为,我们引入了过度生成因子(OGF):即生成标记数与模型上下文窗口长度的比值,并辅以停滞与延迟统计。EOGen发现了可使Phi-3模型达到OGF = 1.39 +/- 1.14(成功率@≥2:25.2%)的短前缀攻击;RL-GOAL则将攻击强度提升近一倍至OGF = 2.70 +/- 1.43(成功率@≥2:64.3%),并在46%的试验中导致预算耗尽型非终止现象。
0
下载
关闭预览

相关内容

【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
专知会员服务
12+阅读 · 2025年9月22日
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
专知会员服务
8+阅读 · 2025年8月12日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
什么是后训练?大语言模型训练后优化方法综述,87页pdf
什么是后训练?大语言模型训练后优化方法综述,87页pdf
专知会员服务
54+阅读 · 2025年3月11日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
【AAAI2024】在多样化指令下对大型语言模型的可控生成进行基准测试
【AAAI2024】在多样化指令下对大型语言模型的可控生成进行基准测试
专知会员服务
29+阅读 · 2024年1月5日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
110+阅读 · 2023年12月19日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
43+阅读 · 2023年8月22日
最新《深度生成式模型进展》视频报告,43页ppt,斯坦福Aditya Grover
最新《深度生成式模型进展》视频报告,43页ppt,斯坦福Aditya Grover
专知
13+阅读 · 2020年8月9日
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
专知
11+阅读 · 2020年3月17日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
专知
26+阅读 · 2019年12月25日
SemanticAdv:基于语义属性的对抗样本生成方法
SemanticAdv:基于语义属性的对抗样本生成方法
机器之心
14+阅读 · 2019年7月12日
最新《生成式对抗网络GAN进展》论文
最新《生成式对抗网络GAN进展》论文
专知
95+阅读 · 2019年4月5日
【干货】生成式对抗网络资料荟萃(原理/教程/报告/论文/实战/资料库)
【干货】生成式对抗网络资料荟萃(原理/教程/报告/论文/实战/资料库)
GAN生成式对抗网络
12+阅读 · 2018年9月19日
最新5篇生成对抗网络相关论文推荐—FusedGAN、DeblurGAN、AdvGAN、CipherGAN、MMD GANS
最新5篇生成对抗网络相关论文推荐—FusedGAN、DeblurGAN、AdvGAN、CipherGAN、MMD GANS
专知
23+阅读 · 2018年1月18日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于非对称群体兴趣相关性并融合情境与群体信任的Web服务推荐研究
国家自然科学基金
1+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
拒绝服务攻击下的信息物理系统安全理论研究
国家自然科学基金
4+阅读 · 2015年12月31日
约束最小生成树及其在容迟容断网络中的应用
国家自然科学基金
0+阅读 · 2014年12月31日
抑制Kupffer细胞RIP140表达诱导内毒素耐受减轻肝移植缺血再灌注损伤的实验研究
国家自然科学基金
0+阅读 · 2014年12月31日
AlignSentinel: Alignment-Aware Detection of Prompt Injection Attacks
Arxiv
0+阅读 · 2月14日
ShallowJail: Steering Jailbreaks against Large Language Models
Arxiv
0+阅读 · 2月13日
Rethinking Latency Denial-of-Service: Attacking the LLM Serving Framework, Not the Model
Arxiv
0+阅读 · 2月8日
Semantic Consensus Decoding: Backdoor Defense for Verilog Code Generation
Arxiv
0+阅读 · 2月4日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
PSM: Prompt Sensitivity Minimization via LLM-Guided Black-Box Optimization
Arxiv
0+阅读 · 2月1日
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
Arxiv
0+阅读 · 1月30日
SPECTRE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 1月21日
EVOREFUSE: Evolutionary Prompt Optimization for Evaluation and Mitigation of LLM Over-Refusal to Pseudo-Malicious Instructions
Arxiv
0+阅读 · 1月20日
MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks
Arxiv
0+阅读 · 1月19日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
基准
黑盒
拒绝服务攻击
黑盒攻击
相关VIP内容
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
专知会员服务
12+阅读 · 2025年9月22日
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
GPT-5如何对齐?从硬性拒绝到安全完成:走向以输出为中心的安全训练
专知会员服务
8+阅读 · 2025年8月12日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
什么是后训练?大语言模型训练后优化方法综述,87页pdf
什么是后训练?大语言模型训练后优化方法综述,87页pdf
专知会员服务
54+阅读 · 2025年3月11日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
【AAAI2024】在多样化指令下对大型语言模型的可控生成进行基准测试
【AAAI2024】在多样化指令下对大型语言模型的可控生成进行基准测试
专知会员服务
29+阅读 · 2024年1月5日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
110+阅读 · 2023年12月19日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
43+阅读 · 2023年8月22日
热门VIP内容
相关资讯
最新《深度生成式模型进展》视频报告,43页ppt,斯坦福Aditya Grover
最新《深度生成式模型进展》视频报告,43页ppt,斯坦福Aditya Grover
专知
13+阅读 · 2020年8月9日
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测,Adversarial Multimodal RL
专知
11+阅读 · 2020年3月17日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
完整版!《GAN实战:生成对抗网络深度学习》在线书与代码,牛津大学Jakub著作 (附下载)
专知
26+阅读 · 2019年12月25日
SemanticAdv:基于语义属性的对抗样本生成方法
SemanticAdv:基于语义属性的对抗样本生成方法
机器之心
14+阅读 · 2019年7月12日
最新《生成式对抗网络GAN进展》论文
最新《生成式对抗网络GAN进展》论文
专知
95+阅读 · 2019年4月5日
【干货】生成式对抗网络资料荟萃(原理/教程/报告/论文/实战/资料库)
【干货】生成式对抗网络资料荟萃(原理/教程/报告/论文/实战/资料库)
GAN生成式对抗网络
12+阅读 · 2018年9月19日
最新5篇生成对抗网络相关论文推荐—FusedGAN、DeblurGAN、AdvGAN、CipherGAN、MMD GANS
最新5篇生成对抗网络相关论文推荐—FusedGAN、DeblurGAN、AdvGAN、CipherGAN、MMD GANS
专知
23+阅读 · 2018年1月18日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
相关论文
AlignSentinel: Alignment-Aware Detection of Prompt Injection Attacks
Arxiv
0+阅读 · 2月14日
ShallowJail: Steering Jailbreaks against Large Language Models
Arxiv
0+阅读 · 2月13日
Rethinking Latency Denial-of-Service: Attacking the LLM Serving Framework, Not the Model
Arxiv
0+阅读 · 2月8日
Semantic Consensus Decoding: Backdoor Defense for Verilog Code Generation
Arxiv
0+阅读 · 2月4日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
PSM: Prompt Sensitivity Minimization via LLM-Guided Black-Box Optimization
Arxiv
0+阅读 · 2月1日
"Someone Hid It": Query-Agnostic Black-Box Attacks on LLM-Based Retrieval
Arxiv
0+阅读 · 1月30日
SPECTRE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 1月21日
EVOREFUSE: Evolutionary Prompt Optimization for Evaluation and Mitigation of LLM Over-Refusal to Pseudo-Malicious Instructions
Arxiv
0+阅读 · 1月20日
MIRAGE: Misleading Retrieval-Augmented Generation via Black-box and Query-agnostic Poisoning Attacks
Arxiv
0+阅读 · 1月19日
相关基金
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于非对称群体兴趣相关性并融合情境与群体信任的Web服务推荐研究
国家自然科学基金
1+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
拒绝服务攻击下的信息物理系统安全理论研究
国家自然科学基金
4+阅读 · 2015年12月31日
约束最小生成树及其在容迟容断网络中的应用
国家自然科学基金
0+阅读 · 2014年12月31日
抑制Kupffer细胞RIP140表达诱导内毒素耐受减轻肝移植缺血再灌注损伤的实验研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top