会员服务
攻击 · 语言模型 · 后门攻击 · 自适应 · 约束 ·
6 月 11 日
Patcher: Post-Hoc Patching of Backdoored Large Language Models
翻译:Patcher:后门大型语言模型的事后修补框架
Anjun Gao,Yueyang Quan,Yufei Xia,Zhuqing Liu,Minghong Fang
Anjun Gao,Yueyang Quan,Yufei Xia,Zhuqing Liu,Minghong Fang
from arxiv, To appear in the USENIX Security Symposium, 2026

Large language models remain vulnerable to jailbreak backdoor attacks, where adversaries poison safety alignment data to embed hidden triggers that bypass safety mechanisms. Existing defenses often require comprehensive attack information or multiple triggered examples, making them impractical when defenders only observe a single reported failure case without knowing whether it stems from a backdoor attack or a natural alignment bug. This paper presents Patcher, a post-hoc defense framework that repairs backdoored language models using only a single reported failure case and the model parameters. Patcher operates in two stages. First, it localizes backdoor triggers by computing response-conditioned gradient-based saliency scores and applying adaptive clustering to separate triggers from benign context. Second, it patches the model through a constrained fine-tuning objective that breaks the trigger-response association while preserving benign-task utility and robustness to non-triggered jailbreak attacks through KL-divergence constraints. We conduct extensive evaluations across multiple backdoor attack strategies and demonstrate that Patcher successfully localizes triggers and neutralizes backdoors while maintaining model utility. We further show robustness against adaptive attacks designed to evade our defense. This work represents a significant step toward practical defenses against training-time attacks in deployed language models.


翻译:大型语言模型仍易受越狱后门攻击,攻击者通过污染安全对齐数据嵌入隐藏触发器,从而绕过安全机制。现有防御通常需要全面的攻击信息或多个触发示例,这使得在防御方仅观察到单次报告失败案例且无法确定其源于后门攻击还是自然对齐缺陷时,此类方法不切实际。本文提出Patcher——一种事后防御框架,仅利用单次报告失败案例与模型参数即可修复后门语言模型。Patcher分两阶段运行:首先,通过计算基于响应条件梯度显著性的分数,并应用自适应聚类将触发器与良性上下文分离,从而定位后门触发器;其次,通过约束微调目标修补模型,该目标打破触发器-响应关联,同时通过KL散度约束维持良性任务效用及对非触发越狱攻击的鲁棒性。我们针对多种后门攻击策略开展广泛评估,结果表明Patcher能成功定位触发器并消除后门,同时保持模型效用。我们进一步证明了对旨在规避本防御的自适应攻击的鲁棒性。此项工作为部署语言模型中训练时攻击的实际防御迈出了重要一步。
0
下载
关闭预览

相关内容

大型语言模型系统中提示缺陷的分类学
大型语言模型系统中提示缺陷的分类学
专知会员服务
8+阅读 · 2025年9月19日
计算机视觉领域的后门攻击与防御:综述
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
什么是后训练?大语言模型训练后优化方法综述,87页pdf
什么是后训练?大语言模型训练后优化方法综述,87页pdf
专知会员服务
54+阅读 · 2025年3月11日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
专知会员服务
27+阅读 · 2022年11月16日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
字节跳动李航提出AMBERT!超越BERT!多粒度token预训练语言模型
字节跳动李航提出AMBERT!超越BERT!多粒度token预训练语言模型
专知
19+阅读 · 2020年8月31日
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
专知
22+阅读 · 2020年3月19日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
泡泡机器人SLAM
34+阅读 · 2019年9月18日
Bert 之后:预训练语言模型与自然语言生成
Bert 之后:预训练语言模型与自然语言生成
AINLP
16+阅读 · 2019年7月16日
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
机器之心
11+阅读 · 2019年6月3日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
机器之心
15+阅读 · 2019年3月18日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于模型驱动的并发建模语言Apla+设计及其可靠性研究
国家自然科学基金
3+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
InstantForget: Update-Free Backdoor Unlearning with Inference-Time Feature Reset
Arxiv
0+阅读 · 6月14日
Dummy Backdoor as a Defense: Removing Unknown Backdoors via Shared Internal Mechanisms for Generative LLMs
Arxiv
0+阅读 · 6月10日
Securing Code Understanding: Detecting Natural Backdoor Vulnerability in Code Language Models
Arxiv
0+阅读 · 6月9日
Backdooring Masked Diffusion Language Models
Arxiv
0+阅读 · 6月2日
BadBlocks: Low-Cost and Stealthy Backdoor Attacks Tailored for Text-to-Image Diffusion Models
Arxiv
0+阅读 · 5月28日
Faster-GCG: Efficient Discrete Optimization Jailbreak Attacks against Aligned Large Language Models
Arxiv
0+阅读 · 5月19日
Backdooring Masked Diffusion Language Models
Arxiv
0+阅读 · 5月19日
MetaBackdoor: Exploiting Positional Encoding as a Backdoor Attack Surface in LLMs
Arxiv
0+阅读 · 5月14日
Hammer and Anvil: Toward a Theory of Backdoors in Federated Learning
Arxiv
0+阅读 · 5月8日
Cross-Modal Backdoors in Multimodal Large Language Models
Arxiv
0+阅读 · 5月8日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
语言模型
后门攻击
自适应
约束
最新内容
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
1+阅读 · 45分钟前
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
1+阅读 · 47分钟前
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
1+阅读 · 49分钟前
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
2+阅读 · 今天14:22
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
3+阅读 · 今天13:50
从燃煤战舰到算法战争:水面指挥的永恒要求
从燃煤战舰到算法战争:水面指挥的永恒要求
专知会员服务
2+阅读 · 今天13:33
《短程弹道再入飞行器拦截时间中的一项异常现象》
《短程弹道再入飞行器拦截时间中的一项异常现象》
专知会员服务
2+阅读 · 今天13:30
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
专知会员服务
2+阅读 · 今天13:28
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
专知会员服务
2+阅读 · 今天13:13
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
专知会员服务
1+阅读 · 今天13:10
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
专知会员服务
5+阅读 · 6月16日
多模态代码智能综述:从视觉输入到可执行代码系统
多模态代码智能综述:从视觉输入到可执行代码系统
专知会员服务
7+阅读 · 6月16日
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
专知会员服务
5+阅读 · 6月16日
《面向导弹有效发射时机的监督机器学习方法:基于超视距空战仿真》
《面向导弹有效发射时机的监督机器学习方法:基于超视距空战仿真》
专知会员服务
5+阅读 · 6月16日
《通用大语言模型:无人机指挥与控制接口》最新40页
《通用大语言模型:无人机指挥与控制接口》最新40页
专知会员服务
15+阅读 · 6月16日
相关VIP内容
大型语言模型系统中提示缺陷的分类学
大型语言模型系统中提示缺陷的分类学
专知会员服务
8+阅读 · 2025年9月19日
计算机视觉领域的后门攻击与防御:综述
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
22+阅读 · 2025年4月28日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
什么是后训练?大语言模型训练后优化方法综述,87页pdf
什么是后训练?大语言模型训练后优化方法综述,87页pdf
专知会员服务
54+阅读 · 2025年3月11日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文
专知会员服务
27+阅读 · 2022年11月16日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
热门VIP内容
相关资讯
字节跳动李航提出AMBERT!超越BERT!多粒度token预训练语言模型
字节跳动李航提出AMBERT!超越BERT!多粒度token预训练语言模型
专知
19+阅读 · 2020年8月31日
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
专知
22+阅读 · 2020年3月19日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
泡泡机器人SLAM
34+阅读 · 2019年9月18日
Bert 之后:预训练语言模型与自然语言生成
Bert 之后:预训练语言模型与自然语言生成
AINLP
16+阅读 · 2019年7月16日
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
集多种半监督学习范式为一体,谷歌新研究提出新型半监督方法 MixMatch
机器之心
11+阅读 · 2019年6月3日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
机器之心
15+阅读 · 2019年3月18日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
相关论文
InstantForget: Update-Free Backdoor Unlearning with Inference-Time Feature Reset
Arxiv
0+阅读 · 6月14日
Dummy Backdoor as a Defense: Removing Unknown Backdoors via Shared Internal Mechanisms for Generative LLMs
Arxiv
0+阅读 · 6月10日
Securing Code Understanding: Detecting Natural Backdoor Vulnerability in Code Language Models
Arxiv
0+阅读 · 6月9日
Backdooring Masked Diffusion Language Models
Arxiv
0+阅读 · 6月2日
BadBlocks: Low-Cost and Stealthy Backdoor Attacks Tailored for Text-to-Image Diffusion Models
Arxiv
0+阅读 · 5月28日
Faster-GCG: Efficient Discrete Optimization Jailbreak Attacks against Aligned Large Language Models
Arxiv
0+阅读 · 5月19日
Backdooring Masked Diffusion Language Models
Arxiv
0+阅读 · 5月19日
MetaBackdoor: Exploiting Positional Encoding as a Backdoor Attack Surface in LLMs
Arxiv
0+阅读 · 5月14日
Hammer and Anvil: Toward a Theory of Backdoors in Federated Learning
Arxiv
0+阅读 · 5月8日
Cross-Modal Backdoors in Multimodal Large Language Models
Arxiv
0+阅读 · 5月8日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于模型驱动的并发建模语言Apla+设计及其可靠性研究
国家自然科学基金
3+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top