会员服务
提示注入 · 攻击 · 探针 · 提示注入攻击 · 失效 ·
3 月 20 日
Prompt Injection as Role Confusion
翻译:提示注入中的角色混淆问题
Charles Ye,Jasmine Cui,Dylan Hadfield-Menell
Charles Ye,Jasmine Cui,Dylan Hadfield-Menell

Language models remain vulnerable to prompt injection attacks despite extensive safety training. We trace this failure to role confusion: models infer roles from how text is written, not where it comes from. We design novel role probes to capture how models internally identify "who is speaking." These reveal why prompt injection works: untrusted text that imitates a role inherits that role's authority. We test this insight by injecting spoofed reasoning into user prompts and tool outputs, achieving average success rates of 60% on StrongREJECT and 61% on agent exfiltration, across multiple open- and closed-weight models with near-zero baselines. Strikingly, the degree of internal role confusion strongly predicts attack success before generation begins. Our findings reveal a fundamental gap: security is defined at the interface but authority is assigned in latent space. More broadly, we introduce a unifying, mechanistic framework for prompt injection, demonstrating that diverse prompt-injection attacks exploit the same underlying role-confusion mechanism.


翻译:尽管经过广泛的安全训练,语言模型仍然容易受到提示注入攻击。我们将这一失效归因于角色混淆:模型从文本的书写方式推断角色,而非文本的来源。我们设计了新型角色探针来捕捉模型如何在内部识别“谁在说话”。这些探针揭示了提示注入成功的原因:模仿角色的不可信文本会继承该角色的权威性。我们通过在用户提示和工具输出中注入伪造推理来验证这一发现,在StrongREJECT基准测试中平均达到60%的成功率,在代理外泄任务中达到61%的成功率,涉及多个开源和闭源模型,基线接近零。引人注目的是,内部角色混淆的程度在生成开始前就能强有力地预测攻击成功。我们的发现揭示了一个根本性差距:安全性定义在接口层面,但权威性却分配在潜在空间中。更广泛而言,我们为提示注入引入了一个统一的、基于机制的框架,证明多种多样化的提示注入攻击都利用了相同的底层角色混淆机制。
0
下载
关闭预览

相关内容

ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
专知会员服务
8+阅读 · 6月8日
大型语言模型系统中提示缺陷的分类学
大型语言模型系统中提示缺陷的分类学
专知会员服务
8+阅读 · 2025年9月19日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
17+阅读 · 2025年5月22日
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
专知会员服务
11+阅读 · 2025年5月6日
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
专知会员服务
52+阅读 · 2025年4月10日
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
专知会员服务
79+阅读 · 2025年2月24日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
ChatGPT背后“推理”如何做?浙大等最新《基于语言模型提示的推理》综述,阐述大模型提示推理机制与方法体系
ChatGPT背后“推理”如何做?浙大等最新《基于语言模型提示的推理》综述,阐述大模型提示推理机制与方法体系
专知会员服务
112+阅读 · 2023年5月6日
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
专知会员服务
71+阅读 · 2021年7月31日
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
专知会员服务
51+阅读 · 2020年3月17日
【CVPR2021】基于反事实推断的视觉问答框架
【CVPR2021】基于反事实推断的视觉问答框架
专知
38+阅读 · 2021年3月4日
【CVPR2020-牛津-谷歌】语音到动作:动作识别的跨模态监督,Cross-modal Supervision
【CVPR2020-牛津-谷歌】语音到动作:动作识别的跨模态监督,Cross-modal Supervision
专知
10+阅读 · 2020年3月31日
注意力机制可解释吗?这篇ACL 2019论文说……
注意力机制可解释吗?这篇ACL 2019论文说……
机器之心
11+阅读 · 2019年6月16日
你的TextGAN调出来了么?来看看人在怎么调的
你的TextGAN调出来了么?来看看人在怎么调的
专知
85+阅读 · 2019年6月6日
什么是语义角色标注?
什么是语义角色标注?
人工智能头条
18+阅读 · 2019年4月28日
深入理解BERT Transformer ,不仅仅是注意力机制
深入理解BERT Transformer ,不仅仅是注意力机制
大数据文摘
22+阅读 · 2019年3月19日
【论文推荐】最新五篇视觉问答相关论文—深度学习评价、交互注意融合、VizWiz、引导注意力、
【论文推荐】最新五篇视觉问答相关论文—深度学习评价、交互注意融合、VizWiz、引导注意力、
专知
10+阅读 · 2018年6月8日
【论文笔记】用图卷积网络( GCN)来做语义角色标注
【论文笔记】用图卷积网络( GCN)来做语义角色标注
专知
61+阅读 · 2018年5月26日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
深度学习中的注意力机制
深度学习中的注意力机制
人工智能头条
16+阅读 · 2017年11月2日
基于知识库构建的图像和视频角色语义关系的研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
面向公共安全的不可控条件下异质人脸图像变换和识别研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
面向交互式问答的省略恢复技术研究
国家自然科学基金
5+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
深度学习框架下基于情境线索的视觉注意研究
国家自然科学基金
2+阅读 · 2015年12月31日
图的边覆盖染色
国家自然科学基金
1+阅读 · 2014年12月31日
配音演员的声音对广告效果的影响--基于机器学习的声音广告研究
国家自然科学基金
0+阅读 · 2014年12月31日
高维混合数据异常知识发现的粒计算模型关键问题研究
国家自然科学基金
1+阅读 · 2014年12月31日
Reasoning Models Will Sometimes Lie About Their Reasoning
Arxiv
0+阅读 · 4月21日
Pause or Fabricate? Training Language Models for Grounded Reasoning
Arxiv
0+阅读 · 4月21日
Prompt Injection as Role Confusion
Arxiv
0+阅读 · 4月15日
DeepSeek Robustness Against Semantic-Character Dual-Space Mutated Prompt Injection
Arxiv
0+阅读 · 4月14日
Think Before you Write: QA-Guided Reasoning for Character Descriptions in Books
Arxiv
0+阅读 · 4月13日
The Defense Trilemma: Why Prompt Injection Defense Wrappers Fail?
Arxiv
0+阅读 · 4月9日
Emergent Inference-Time Semantic Contamination via In-Context Priming
Arxiv
0+阅读 · 4月5日
Bypassing Prompt Injection Detectors through Evasive Injections
Arxiv
0+阅读 · 4月1日
Misleading Large Language Models used (or misused) in Scientific Peer-Reviewing via Hidden Prompt-Injection Attacks
Arxiv
0+阅读 · 3月30日
Indirect Prompt Injections: Are Firewalls All You Need, or Stronger Benchmarks?
Arxiv
0+阅读 · 3月23日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
提示注入
攻击
探针
提示注入攻击
失效
最新内容
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
7+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
5+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
7+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
20+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
13+阅读 · 6月18日
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
12+阅读 · 6月18日
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
8+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
13+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
10+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
24+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
12+阅读 · 6月17日
相关VIP内容
ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
ICML 2026 Oral|大模型为何难被提示纠正?内部先验限制标注适应性
专知会员服务
8+阅读 · 6月8日
大型语言模型系统中提示缺陷的分类学
大型语言模型系统中提示缺陷的分类学
专知会员服务
8+阅读 · 2025年9月19日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
17+阅读 · 2025年5月22日
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
【ICML2025】通过概念对齐与混淆感知校准边界处理视觉-语言模型中的伪标签不平衡问题
专知会员服务
11+阅读 · 2025年5月6日
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
Google发布69 页《提示工程》白皮书,介绍 Prompt Engineering 及其最佳实践
专知会员服务
52+阅读 · 2025年4月10日
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
如何将领域知识注入大模型?最新《将领域特定知识注入大语言模型》综述
专知会员服务
79+阅读 · 2025年2月24日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
ChatGPT背后“推理”如何做?浙大等最新《基于语言模型提示的推理》综述,阐述大模型提示推理机制与方法体系
ChatGPT背后“推理”如何做?浙大等最新《基于语言模型提示的推理》综述,阐述大模型提示推理机制与方法体系
专知会员服务
112+阅读 · 2023年5月6日
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
专知会员服务
71+阅读 · 2021年7月31日
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
【AAAI2020】Context-Transformer:上下文转换器:解决对象混淆的小样本检测,Context-Transformer: Tackling Object Confusion for Few-Shot Detection
专知会员服务
51+阅读 · 2020年3月17日
热门VIP内容
相关资讯
【CVPR2021】基于反事实推断的视觉问答框架
【CVPR2021】基于反事实推断的视觉问答框架
专知
38+阅读 · 2021年3月4日
【CVPR2020-牛津-谷歌】语音到动作:动作识别的跨模态监督,Cross-modal Supervision
【CVPR2020-牛津-谷歌】语音到动作:动作识别的跨模态监督,Cross-modal Supervision
专知
10+阅读 · 2020年3月31日
注意力机制可解释吗?这篇ACL 2019论文说……
注意力机制可解释吗?这篇ACL 2019论文说……
机器之心
11+阅读 · 2019年6月16日
你的TextGAN调出来了么?来看看人在怎么调的
你的TextGAN调出来了么?来看看人在怎么调的
专知
85+阅读 · 2019年6月6日
什么是语义角色标注?
什么是语义角色标注?
人工智能头条
18+阅读 · 2019年4月28日
深入理解BERT Transformer ,不仅仅是注意力机制
深入理解BERT Transformer ,不仅仅是注意力机制
大数据文摘
22+阅读 · 2019年3月19日
【论文推荐】最新五篇视觉问答相关论文—深度学习评价、交互注意融合、VizWiz、引导注意力、
【论文推荐】最新五篇视觉问答相关论文—深度学习评价、交互注意融合、VizWiz、引导注意力、
专知
10+阅读 · 2018年6月8日
【论文笔记】用图卷积网络( GCN)来做语义角色标注
【论文笔记】用图卷积网络( GCN)来做语义角色标注
专知
61+阅读 · 2018年5月26日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
深度学习中的注意力机制
深度学习中的注意力机制
人工智能头条
16+阅读 · 2017年11月2日
相关论文
Reasoning Models Will Sometimes Lie About Their Reasoning
Arxiv
0+阅读 · 4月21日
Pause or Fabricate? Training Language Models for Grounded Reasoning
Arxiv
0+阅读 · 4月21日
Prompt Injection as Role Confusion
Arxiv
0+阅读 · 4月15日
DeepSeek Robustness Against Semantic-Character Dual-Space Mutated Prompt Injection
Arxiv
0+阅读 · 4月14日
Think Before you Write: QA-Guided Reasoning for Character Descriptions in Books
Arxiv
0+阅读 · 4月13日
The Defense Trilemma: Why Prompt Injection Defense Wrappers Fail?
Arxiv
0+阅读 · 4月9日
Emergent Inference-Time Semantic Contamination via In-Context Priming
Arxiv
0+阅读 · 4月5日
Bypassing Prompt Injection Detectors through Evasive Injections
Arxiv
0+阅读 · 4月1日
Misleading Large Language Models used (or misused) in Scientific Peer-Reviewing via Hidden Prompt-Injection Attacks
Arxiv
0+阅读 · 3月30日
Indirect Prompt Injections: Are Firewalls All You Need, or Stronger Benchmarks?
Arxiv
0+阅读 · 3月23日
相关基金
基于知识库构建的图像和视频角色语义关系的研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
面向公共安全的不可控条件下异质人脸图像变换和识别研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
面向交互式问答的省略恢复技术研究
国家自然科学基金
5+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
深度学习框架下基于情境线索的视觉注意研究
国家自然科学基金
2+阅读 · 2015年12月31日
图的边覆盖染色
国家自然科学基金
1+阅读 · 2014年12月31日
配音演员的声音对广告效果的影响--基于机器学习的声音广告研究
国家自然科学基金
0+阅读 · 2014年12月31日
高维混合数据异常知识发现的粒计算模型关键问题研究
国家自然科学基金
1+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top