会员服务
攻击 · 越狱 · 分类器 · 样本 · 快速响应 ·
6 月 15 日
Rapid Poison: Practical Poisoning Attacks Against the Rapid Response Framework
翻译:快速毒害:针对快速响应框架的实用投毒攻击
David Huang,Jaewon Chang,Avidan Shah,Prateek Mittal,Chawin Sitawarin
David Huang,Jaewon Chang,Avidan Shah,Prateek Mittal,Chawin Sitawarin
from arxiv, Spotlight at ICML 2026

The Rapid Response (RR) framework, deployed in production systems, including Anthropic's ASL-3 safeguards, continuously improves jailbreak-detection classifiers. When new jailbreaks emerge that bypass these classifiers, Rapid Response generates synthetic variants for training, helping the model generalize from the new attacks and quickly adapt. We reveal that prompt injection can infiltrate this pipeline to deliver poisoned samples into the classifier's training set, enabling two attack objectives: (I) targeted poisoning attacks that create false positives on harmless samples by categorizing them as a jailbreak, with a specific desired feature (e.g., certain formatting, subject, or keyword), (II) concept-based backdoor attacks that induce false negatives on jailbreak inputs, generalizing even to jailbreaks from attack strategies the defender explicitly trained against, when the backdoor trigger is present. Importantly, our threat model restricts adversaries to modifying only jailbreak samples (not benign data or labels), a constraint unexplored by prior work that makes the second objective particularly challenging. We address this with Omission Attack, which exploits a new phenomenon: when training on concept-absent unsafe samples, the classifier misassociates that concept's presence with the safe label. Both attacks cause substantial and in some cases near-complete label flipping at only a 1% poisoning rate, achieving up to 100% false positive rates and up to 96% false negative rates.


翻译:快速响应(RR)框架已在生产系统中部署(包括Anthropic的ASL-3安全机制),持续改进越狱检测分类器。当出现能绕过这些分类器的新型越狱攻击时,快速响应框架会生成合成变体用于训练,帮助模型从新攻击中泛化并快速适应。我们发现,提示注入可渗透该流水线,向分类器训练集注入投毒样本,实现两种攻击目标:(I)针对特定特征(如特定格式、主题或关键词)的定向投毒攻击——将无害样本误判为越狱样本以制造假阳性;(II)基于概念的后门攻击——当后门触发器存在时,诱导分类器对越狱输入产生假阴性,甚至泛化至防御者明确训练的对抗策略产生的越狱攻击。关键的是,我们的威胁模型限制攻击者仅能修改越狱样本(而非良性数据或标签),这一未被前人工作探索的约束使得第二个目标尤其具有挑战性。我们提出"遗漏攻击"解决该问题,该攻击利用新现象:当训练集中包含概念缺失的不安全样本时,分类器会错误地将该概念的存在与安全标签关联。两种攻击在仅1%投毒率下即可导致显著(部分情况下近乎完全)的标签翻转,实现高达100%的假阳性率和96%的假阴性率。
0
下载
关闭预览

相关内容

《用于建模系统攻击路径的强化学习环境》
《用于建模系统攻击路径的强化学习环境》
专知会员服务
22+阅读 · 3月5日
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
21+阅读 · 2025年6月24日
深度学习中的数据投毒:综述
深度学习中的数据投毒:综述
专知会员服务
29+阅读 · 2025年4月1日
【博士论文】安全的线上和线下强化学习,142页pdf
【博士论文】安全的线上和线下强化学习,142页pdf
专知会员服务
23+阅读 · 2024年6月12日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知会员服务
44+阅读 · 2022年10月15日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
67+阅读 · 2022年4月14日
深度学习模型的中毒攻击与防御综述
专知会员服务
67+阅读 · 2021年1月10日
最新《人脸识别对抗攻击》综述 | Threat of Adversarial Attacks on Face Recognition: A Comprehensive Survey
最新《人脸识别对抗攻击》综述 | Threat of Adversarial Attacks on Face Recognition: A Comprehensive Survey
专知会员服务
26+阅读 · 2020年7月24日
【CMU-Google-斯坦福】可控行为的弱监督强化学习,Weakly-Supervised RL
【CMU-Google-斯坦福】可控行为的弱监督强化学习,Weakly-Supervised RL
专知会员服务
22+阅读 · 2020年4月8日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知
14+阅读 · 2022年10月15日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
「目标检测算法」连连看:从 Faster R-CNN 、 R-FCN 到 FPN
「目标检测算法」连连看:从 Faster R-CNN 、 R-FCN 到 FPN
AI研习社
10+阅读 · 2018年5月12日
CVPR 2018 | 优于Mask R-CNN,港中文&腾讯优图提出PANet实例分割框架
CVPR 2018 | 优于Mask R-CNN,港中文&腾讯优图提出PANet实例分割框架
机器之心
16+阅读 · 2018年3月12日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
深度学习与NLP
12+阅读 · 2017年11月30日
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习世界
10+阅读 · 2017年9月18日
基于LIBS-Raman光谱融合探测的危险物检测识别方法研究
国家自然科学基金
1+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
肉类食品禁用/限用添加剂的表面增强拉曼光谱特性及基底作用机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向生物威胁快速反应的大数据分析关键技术
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Influence Factors on RAG Poisoning
Arxiv
0+阅读 · 6月9日
When Poison Fails After Retrieval: Revisiting Corpus Poisoning under Chunking and Reranking Pipelines
Arxiv
0+阅读 · 6月9日
Model Poisoning Against Federated Model Adaptation with Chain of Bit-Flips
Arxiv
0+阅读 · 6月8日
Robust In-Context Reinforcement Learning Under Reward Poisoning Attacks
Arxiv
0+阅读 · 6月5日
Uncovering Competing Poisoning Attacks in Retrieval-Augmented Generation
Arxiv
0+阅读 · 6月2日
Faster-GCG: Efficient Discrete Optimization Jailbreak Attacks against Aligned Large Language Models
Arxiv
0+阅读 · 5月19日
Knowledge Poisoning Attacks on Medical Multi-Modal Retrieval-Augmented Generation
Arxiv
0+阅读 · 5月11日
Is Your Prompt Poisoning Code? Defect Induction Rates and Security Mitigation Strategies
Arxiv
0+阅读 · 5月8日
Efficient Preference Poisoning Attack on Offline RLHF
Efficient Preference Poisoning Attack on Offline RLHF
Arxiv
0+阅读 · 5月4日
PARASITE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 4月26日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
越狱
分类器
样本
快速响应
最新内容
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
1+阅读 · 今天2:06
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
1+阅读 · 今天1:37
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
2+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
2+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
2+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
5+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
6+阅读 · 6月17日
从燃煤战舰到算法战争:水面指挥的永恒要求
从燃煤战舰到算法战争:水面指挥的永恒要求
专知会员服务
3+阅读 · 6月17日
《短程弹道再入飞行器拦截时间中的一项异常现象》
《短程弹道再入飞行器拦截时间中的一项异常现象》
专知会员服务
4+阅读 · 6月17日
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
专知会员服务
4+阅读 · 6月17日
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
专知会员服务
4+阅读 · 6月17日
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
专知会员服务
3+阅读 · 6月17日
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
专知会员服务
5+阅读 · 6月16日
多模态代码智能综述:从视觉输入到可执行代码系统
多模态代码智能综述:从视觉输入到可执行代码系统
专知会员服务
7+阅读 · 6月16日
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
专知会员服务
6+阅读 · 6月16日
相关VIP内容
《用于建模系统攻击路径的强化学习环境》
《用于建模系统攻击路径的强化学习环境》
专知会员服务
22+阅读 · 3月5日
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
21+阅读 · 2025年6月24日
深度学习中的数据投毒:综述
深度学习中的数据投毒:综述
专知会员服务
29+阅读 · 2025年4月1日
【博士论文】安全的线上和线下强化学习,142页pdf
【博士论文】安全的线上和线下强化学习,142页pdf
专知会员服务
23+阅读 · 2024年6月12日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知会员服务
44+阅读 · 2022年10月15日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
67+阅读 · 2022年4月14日
深度学习模型的中毒攻击与防御综述
专知会员服务
67+阅读 · 2021年1月10日
最新《人脸识别对抗攻击》综述 | Threat of Adversarial Attacks on Face Recognition: A Comprehensive Survey
最新《人脸识别对抗攻击》综述 | Threat of Adversarial Attacks on Face Recognition: A Comprehensive Survey
专知会员服务
26+阅读 · 2020年7月24日
【CMU-Google-斯坦福】可控行为的弱监督强化学习,Weakly-Supervised RL
【CMU-Google-斯坦福】可控行为的弱监督强化学习,Weakly-Supervised RL
专知会员服务
22+阅读 · 2020年4月8日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知
14+阅读 · 2022年10月15日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
「目标检测算法」连连看:从 Faster R-CNN 、 R-FCN 到 FPN
「目标检测算法」连连看:从 Faster R-CNN 、 R-FCN 到 FPN
AI研习社
10+阅读 · 2018年5月12日
CVPR 2018 | 优于Mask R-CNN,港中文&腾讯优图提出PANet实例分割框架
CVPR 2018 | 优于Mask R-CNN,港中文&腾讯优图提出PANet实例分割框架
机器之心
16+阅读 · 2018年3月12日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
深度学习与NLP
12+阅读 · 2017年11月30日
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习世界
10+阅读 · 2017年9月18日
相关论文
Influence Factors on RAG Poisoning
Arxiv
0+阅读 · 6月9日
When Poison Fails After Retrieval: Revisiting Corpus Poisoning under Chunking and Reranking Pipelines
Arxiv
0+阅读 · 6月9日
Model Poisoning Against Federated Model Adaptation with Chain of Bit-Flips
Arxiv
0+阅读 · 6月8日
Robust In-Context Reinforcement Learning Under Reward Poisoning Attacks
Arxiv
0+阅读 · 6月5日
Uncovering Competing Poisoning Attacks in Retrieval-Augmented Generation
Arxiv
0+阅读 · 6月2日
Faster-GCG: Efficient Discrete Optimization Jailbreak Attacks against Aligned Large Language Models
Arxiv
0+阅读 · 5月19日
Knowledge Poisoning Attacks on Medical Multi-Modal Retrieval-Augmented Generation
Arxiv
0+阅读 · 5月11日
Is Your Prompt Poisoning Code? Defect Induction Rates and Security Mitigation Strategies
Arxiv
0+阅读 · 5月8日
Efficient Preference Poisoning Attack on Offline RLHF
Efficient Preference Poisoning Attack on Offline RLHF
Arxiv
0+阅读 · 5月4日
PARASITE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 4月26日
相关基金
基于LIBS-Raman光谱融合探测的危险物检测识别方法研究
国家自然科学基金
1+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
肉类食品禁用/限用添加剂的表面增强拉曼光谱特性及基底作用机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向生物威胁快速反应的大数据分析关键技术
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top