会员服务
攻击 · 输出 · 越狱 · 语音识别 · 大语言模型 ·
1 月 19 日
Sockpuppetting: Jailbreaking LLMs Without Optimization Through Output Prefix Injection
翻译:傀儡攻击:通过输出前缀注入实现无需优化的LLM越狱
Asen Dotsinski,Panagiotis Eustratiadis
Asen Dotsinski,Panagiotis Eustratiadis

As open-weight large language models (LLMs) increase in capabilities, safeguarding them against malicious prompts and understanding possible attack vectors becomes ever more important. While automated jailbreaking methods like GCG [Zou et al., 2023] remain effective, they often require substantial computational resources and specific expertise. We introduce "sockpuppetting'', a simple method for jailbreaking open-weight LLMs by inserting an acceptance sequence (e.g., "Sure, here is how to...'') at the start of a model's output and allowing it to complete the response. Requiring only a single line of code and no optimization, sockpuppetting achieves up to 80% higher attack success rate (ASR) than GCG on Qwen3-8B in per-prompt comparisons. We also explore a hybrid approach that optimizes the adversarial suffix within the assistant message block rather than the user prompt, increasing ASR by 64% over GCG on Llama-3.1-8B in a prompt-agnostic setting. The results establish sockpuppetting as an effective low-cost attack accessible to unsophisticated adversaries, highlighting the need for defences against output-prefix injection in open-weight models.


翻译:随着开源权重大型语言模型(LLM)能力不断增强,保护其免受恶意提示攻击并理解潜在攻击向量变得愈发重要。尽管自动化越狱方法如GCG [Zou et al., 2023] 仍然有效,但它们通常需要大量计算资源和特定专业知识。本文提出“傀儡攻击”——一种通过向模型输出起始位置插入接受序列(例如“当然,以下是实现...的方法”)并允许其完成响应的简单越狱方法。该方法仅需单行代码且无需优化,在逐提示对比中,对Qwen3-8B模型的攻击成功率(ASR)比GCG最高提升80%。我们还探索了一种混合方法,在助手消息块而非用户提示内优化对抗后缀,在提示无关设置下对Llama-3.1-8B模型的ASR比GCG提高64%。研究结果表明傀儡攻击是一种可供非专业攻击者实施的高效低成本攻击手段,凸显了开源权重模型防御输出前缀注入攻击的必要性。
0
下载
关闭预览

相关内容

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
21+阅读 · 2025年4月28日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
TransMLA:多头潜在注意力(MLA)即为所需
TransMLA:多头潜在注意力(MLA)即为所需
专知会员服务
23+阅读 · 2025年2月13日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
专知会员服务
75+阅读 · 2023年11月29日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
模型攻击:鲁棒性联邦学习研究的最新进展
模型攻击:鲁棒性联邦学习研究的最新进展
机器之心
35+阅读 · 2020年6月3日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
专知
40+阅读 · 2019年9月27日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
The Trojan Example: Jailbreaking LLMs through Template Filling and Unsafety Reasoning
Arxiv
0+阅读 · 2月18日
ShallowJail: Steering Jailbreaks against Large Language Models
Arxiv
0+阅读 · 2月13日
TrailBlazer: History-Guided Reinforcement Learning for Black-Box LLM Jailbreaking
Arxiv
0+阅读 · 2月6日
Proactive defense against LLM Jailbreak
Arxiv
0+阅读 · 2月2日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
LLMStinger: Jailbreaking LLMs using RL fine-tuned LLMs
Arxiv
0+阅读 · 1月28日
LLM Jailbreak Detection for (Almost) Free!
Arxiv
0+阅读 · 1月23日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
Arxiv
0+阅读 · 1月14日
SpatialJB: How Text Distribution Art Becomes the "Jailbreak Key" for LLM Guardrails
Arxiv
0+阅读 · 1月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
输出
越狱
语音识别
大语言模型
相关VIP内容
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
21+阅读 · 2025年4月28日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
TransMLA:多头潜在注意力(MLA)即为所需
TransMLA:多头潜在注意力(MLA)即为所需
专知会员服务
23+阅读 · 2025年2月13日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
专知会员服务
75+阅读 · 2023年11月29日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
模型攻击:鲁棒性联邦学习研究的最新进展
模型攻击:鲁棒性联邦学习研究的最新进展
机器之心
35+阅读 · 2020年6月3日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
专知
40+阅读 · 2019年9月27日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
The Trojan Example: Jailbreaking LLMs through Template Filling and Unsafety Reasoning
Arxiv
0+阅读 · 2月18日
ShallowJail: Steering Jailbreaks against Large Language Models
Arxiv
0+阅读 · 2月13日
TrailBlazer: History-Guided Reinforcement Learning for Black-Box LLM Jailbreaking
Arxiv
0+阅读 · 2月6日
Proactive defense against LLM Jailbreak
Arxiv
0+阅读 · 2月2日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
LLMStinger: Jailbreaking LLMs using RL fine-tuned LLMs
Arxiv
0+阅读 · 1月28日
LLM Jailbreak Detection for (Almost) Free!
Arxiv
0+阅读 · 1月23日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
Arxiv
0+阅读 · 1月14日
SpatialJB: How Text Distribution Art Becomes the "Jailbreak Key" for LLM Guardrails
Arxiv
0+阅读 · 1月14日
相关基金
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于高维流形计算的混沌密码攻击方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top