特洛伊赞美：通过良性微调越狱大型语言模型 (TrojanPraise: Jailbreak LLMs via Benign Fine-Tuning) - 专知论文

会员服务 ·

0

攻击 · 微调 · 越狱 · 大语言模型 · 商业 ·

TrojanPraise: Jailbreak LLMs via Benign Fine-Tuning

翻译：特洛伊赞美：通过良性微调越狱大型语言模型

Zhixin Xie,Xurui Song,Jun Luo

The demand of customized large language models (LLMs) has led to commercial LLMs offering black-box fine-tuning APIs, yet this convenience introduces a critical security loophole: attackers could jailbreak the LLMs by fine-tuning them with malicious data. Though this security issue has recently been exposed, the feasibility of such attacks is questionable as malicious training dataset is believed to be detectable by moderation models such as Llama-Guard-3. In this paper, we propose TrojanPraise, a novel finetuning-based attack exploiting benign and thus filter-approved data. Basically, TrojanPraise fine-tunes the model to associate a crafted word (e.g., "bruaf") with harmless connotations, then uses this word to praise harmful concepts, subtly shifting the LLM from refusal to compliance. To explain the attack, we decouple the LLM's internal representation of a query into two dimensions of knowledge and attitude. We demonstrate that successful jailbreak requires shifting the attitude while avoiding knowledge shift, a distortion in the model's understanding of the concept. To validate this attack, we conduct experiments on five opensource LLMs and two commercial LLMs under strict black-box settings. Results show that TrojanPraise achieves a maximum attack success rate of 95.88% while evading moderation.

翻译：定制化大型语言模型（LLMs）的需求促使商业LLM提供黑盒微调API，然而这种便利性引入了关键的安全漏洞：攻击者可能通过恶意数据微调来越狱LLM。尽管这一安全问题近期已被揭露，但此类攻击的可行性仍存疑，因为人们认为恶意训练数据集可被Llama-Guard-3等审核模型检测到。本文提出特洛伊赞美（TrojanPraise），一种利用良性且通过过滤器审核数据的新型微调攻击方法。该技术通过微调模型使特定构造词汇（如"bruaf"）与无害内涵建立关联，随后使用该词汇赞美有害概念，从而巧妙地将LLM从拒绝状态转向顺从状态。为解释攻击原理，我们将LLM对查询的内部表征解耦为知识与态度两个维度。研究表明，成功的越狱需要在避免知识偏移（即模型对概念理解的扭曲）的同时实现态度转变。为验证攻击效果，我们在严格黑盒设置下对五个开源LLM和两个商业LLM进行实验。结果显示特洛伊赞美在规避审核的同时，最高攻击成功率可达95.88%。

0

相关内容

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

专知会员服务

15+阅读 · 2025年5月22日

负责任的大型语言模型的综述：固有风险、恶意使用与缓解策略

负责任的大型语言模型的综述：固有风险、恶意使用与缓解策略

专知会员服务

15+阅读 · 2025年1月17日

【新书】大规模语言模型的隐私与安全，

【新书】大规模语言模型的隐私与安全，

专知会员服务

29+阅读 · 2024年12月4日

迈向可信的人工智能：伦理和稳健的大型语言模型综述

迈向可信的人工智能：伦理和稳健的大型语言模型综述

专知会员服务

39+阅读 · 2024年7月28日

大语言模型中的提示隐私保护

大语言模型中的提示隐私保护

专知会员服务

24+阅读 · 2024年7月24日

大型语言模型网络安全综述

大型语言模型网络安全综述

专知会员服务

67+阅读 · 2024年5月12日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

大型语言模型公平性

大型语言模型公平性

专知会员服务

41+阅读 · 2023年8月31日

大模型如何可信安全？利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述，全面阐述LLM安全性

大模型如何可信安全？利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述，全面阐述LLM安全性

专知会员服务

66+阅读 · 2023年5月30日

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

专知

25+阅读 · 2023年4月7日

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

专知

25+阅读 · 2023年4月4日

BERT 瘦身之路：Distillation，Quantization，Pruning

BERT 瘦身之路：Distillation，Quantization，Pruning

AINLP

10+阅读 · 2019年10月22日

[Google]BERT压缩到7MB！最新基于最优子词和共享投影的极限语言压缩模型

[Google]BERT压缩到7MB！最新基于最优子词和共享投影的极限语言压缩模型

专知

31+阅读 · 2019年10月6日

通过Termux打造免root安卓渗透工具

通过Termux打造免root安卓渗透工具

黑客技术与网络安全

16+阅读 · 2019年8月16日

GitHub超9千星：一个API调用27个NLP预训练模型

GitHub超9千星：一个API调用27个NLP预训练模型

新智元

17+阅读 · 2019年7月22日

超越 BERT 和 GPT，微软亚洲研究院开源新模型 MASS！

超越 BERT 和 GPT，微软亚洲研究院开源新模型 MASS！

雷锋网

10+阅读 · 2019年6月27日

一大批中文（BERT等）预训练模型等你认领！

一大批中文（BERT等）预训练模型等你认领！

PaperWeekly

15+阅读 · 2019年6月25日

BAM！利用知识蒸馏和多任务学习构建的通用语言模型

BAM！利用知识蒸馏和多任务学习构建的通用语言模型

机器之心

15+阅读 · 2019年3月18日

谷歌发表的史上最强NLP模型BERT的官方代码和预训练模型可以下载了

谷歌发表的史上最强NLP模型BERT的官方代码和预训练模型可以下载了

AINLP

12+阅读 · 2018年11月1日

基于智能模糊测试的深度漏洞挖掘技术研究

国家自然科学基金

4+阅读 · 2017年12月31日

基于学习的智能化漏洞挖掘关键技术研究

国家自然科学基金

6+阅读 · 2017年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于海量软件片段比对的恶意代码检测方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

即时通信中的隐蔽通信模型及方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复

国家自然科学基金

0+阅读 · 2015年12月31日

基于网络活动分析的窃密木马检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

隐写模糊安全性测度及其优化嵌入算法研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于免疫的Rootkit隐遁攻击动态内存取证方法研究

国家自然科学基金

0+阅读 · 2014年12月31日

多语言大数据环境下的复杂网络行为分析、预测和干预

国家自然科学基金

4+阅读 · 2014年12月31日

The Trojan Example: Jailbreaking LLMs through Template Filling and Unsafety Reasoning

Arxiv

0+阅读 · 2月18日

ShallowJail: Steering Jailbreaks against Large Language Models

Arxiv

0+阅读 · 2月13日

from Benign import Toxic: Jailbreaking the Language Model via Adversarial Metaphors

Arxiv

0+阅读 · 2月11日

Efficient and Adaptable Detection of Malicious LLM Prompts via Bootstrap Aggregation

Arxiv

0+阅读 · 2月8日

SafeDialBench: A Fine-Grained Safety Evaluation Benchmark for Large Language Models in Multi-Turn Dialogues with Diverse Jailbreak Attacks

Arxiv

0+阅读 · 2月7日

Pattern Enhanced Multi-Turn Jailbreaking: Exploiting Structural Vulnerabilities in Large Language Models

Arxiv

0+阅读 · 2月5日

Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment

Arxiv

0+阅读 · 2月2日

Jailbreaking LLMs via Calibration

Arxiv

0+阅读 · 1月31日

LLMStinger: Jailbreaking LLMs using RL fine-tuned LLMs

Arxiv

0+阅读 · 1月28日

TROJail: Trajectory-Level Optimization for Multi-Turn Large Language Model Jailbreaks with Process Rewards

Arxiv

0+阅读 · 1月13日

VIP会员

文章信息

相关主题

大语言模型

最新内容

无人机蜂群：研究、挑战、未来发展方向

无人机蜂群：研究、挑战、未来发展方向

专知会员服务

1+阅读 · 25分钟前

【博士论文】已对齐 AI 系统的持续脆弱性

【博士论文】已对齐 AI 系统的持续脆弱性

专知会员服务

6+阅读 · 4月3日

潜空间综述：基础、演化、机制、能力与展望

潜空间综述：基础、演化、机制、能力与展望

专知会员服务

12+阅读 · 4月3日

《非合作空中目标识别感知方法与人工智能技术近期趋势综述》

《非合作空中目标识别感知方法与人工智能技术近期趋势综述》

专知会员服务

16+阅读 · 4月3日

《人工智能时代的国防工业政策》

《人工智能时代的国防工业政策》

专知会员服务

6+阅读 · 4月3日

来自乌克兰与伊朗冲突的经验：战场适应力仍是关键

来自乌克兰与伊朗冲突的经验：战场适应力仍是关键

专知会员服务

10+阅读 · 4月3日

《无人机前沿：印度武装力量无人机库存、全球经验与非接触式动能战争的战略要务》

《无人机前沿：印度武装力量无人机库存、全球经验与非接触式动能战争的战略要务》

专知会员服务

8+阅读 · 4月3日

《用于高功率微波反蜂群作战的生成式人工智能方法》技术报告

《用于高功率微波反蜂群作战的生成式人工智能方法》技术报告

专知会员服务

14+阅读 · 4月3日

“美国情报界年度威胁评估报告”中的技术挑战描述

“美国情报界年度威胁评估报告”中的技术挑战描述

专知会员服务

4+阅读 · 4月3日

《升级动态与核门槛政治：对伊朗-美国冲突（2024-2026）的定量-分析评估》

《升级动态与核门槛政治：对伊朗-美国冲突（2024-2026）的定量-分析评估》

专知会员服务

8+阅读 · 4月3日

《2026年美国/以色列-伊朗冲突》

《2026年美国/以色列-伊朗冲突》

专知会员服务

6+阅读 · 4月3日

《美国与伊朗的冲突》美国会服务处报告

《美国与伊朗的冲突》美国会服务处报告

专知会员服务

6+阅读 · 4月3日

美国对伊朗军事行动：弹药与反导

美国对伊朗军事行动：弹药与反导

专知会员服务

7+阅读 · 4月3日

超越技术：伊朗冲突中的“战争方式”

超越技术：伊朗冲突中的“战争方式”

专知会员服务

15+阅读 · 4月1日

军事决策大语言模型综合评价基准

军事决策大语言模型综合评价基准

专知会员服务

11+阅读 · 4月1日

相关VIP内容

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

专知会员服务

15+阅读 · 2025年5月22日

负责任的大型语言模型的综述：固有风险、恶意使用与缓解策略

负责任的大型语言模型的综述：固有风险、恶意使用与缓解策略

专知会员服务

15+阅读 · 2025年1月17日

【新书】大规模语言模型的隐私与安全，

【新书】大规模语言模型的隐私与安全，

专知会员服务

29+阅读 · 2024年12月4日

迈向可信的人工智能：伦理和稳健的大型语言模型综述

迈向可信的人工智能：伦理和稳健的大型语言模型综述

专知会员服务

39+阅读 · 2024年7月28日

大语言模型中的提示隐私保护

大语言模型中的提示隐私保护

专知会员服务

24+阅读 · 2024年7月24日

大型语言模型网络安全综述

大型语言模型网络安全综述

专知会员服务

67+阅读 · 2024年5月12日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

大型语言模型公平性

大型语言模型公平性

专知会员服务

41+阅读 · 2023年8月31日

大模型如何可信安全？利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述，全面阐述LLM安全性

大模型如何可信安全？利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述，全面阐述LLM安全性

专知会员服务

66+阅读 · 2023年5月30日

热门VIP内容

开通专知VIP会员享更多权益服务

【博士论文】已对齐 AI 系统的持续脆弱性

《非合作空中目标识别感知方法与人工智能技术近期趋势综述》

无人机蜂群：研究、挑战、未来发展方向

潜空间综述：基础、演化、机制、能力与展望

相关资讯

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

专知

25+阅读 · 2023年4月7日

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

专知

25+阅读 · 2023年4月4日

BERT 瘦身之路：Distillation，Quantization，Pruning

BERT 瘦身之路：Distillation，Quantization，Pruning

AINLP

10+阅读 · 2019年10月22日

[Google]BERT压缩到7MB！最新基于最优子词和共享投影的极限语言压缩模型

[Google]BERT压缩到7MB！最新基于最优子词和共享投影的极限语言压缩模型

专知

31+阅读 · 2019年10月6日

通过Termux打造免root安卓渗透工具

通过Termux打造免root安卓渗透工具

黑客技术与网络安全

16+阅读 · 2019年8月16日

GitHub超9千星：一个API调用27个NLP预训练模型

GitHub超9千星：一个API调用27个NLP预训练模型

新智元

17+阅读 · 2019年7月22日

超越 BERT 和 GPT，微软亚洲研究院开源新模型 MASS！

超越 BERT 和 GPT，微软亚洲研究院开源新模型 MASS！

雷锋网

10+阅读 · 2019年6月27日

一大批中文（BERT等）预训练模型等你认领！

一大批中文（BERT等）预训练模型等你认领！

PaperWeekly

15+阅读 · 2019年6月25日

BAM！利用知识蒸馏和多任务学习构建的通用语言模型

BAM！利用知识蒸馏和多任务学习构建的通用语言模型

机器之心

15+阅读 · 2019年3月18日

谷歌发表的史上最强NLP模型BERT的官方代码和预训练模型可以下载了

谷歌发表的史上最强NLP模型BERT的官方代码和预训练模型可以下载了

AINLP

12+阅读 · 2018年11月1日

相关论文

The Trojan Example: Jailbreaking LLMs through Template Filling and Unsafety Reasoning

Arxiv

0+阅读 · 2月18日

ShallowJail: Steering Jailbreaks against Large Language Models

Arxiv

0+阅读 · 2月13日

from Benign import Toxic: Jailbreaking the Language Model via Adversarial Metaphors

Arxiv

0+阅读 · 2月11日

Efficient and Adaptable Detection of Malicious LLM Prompts via Bootstrap Aggregation

Arxiv

0+阅读 · 2月8日

SafeDialBench: A Fine-Grained Safety Evaluation Benchmark for Large Language Models in Multi-Turn Dialogues with Diverse Jailbreak Attacks

Arxiv

0+阅读 · 2月7日

Pattern Enhanced Multi-Turn Jailbreaking: Exploiting Structural Vulnerabilities in Large Language Models

Arxiv

0+阅读 · 2月5日

Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment

Arxiv

0+阅读 · 2月2日

Jailbreaking LLMs via Calibration

Arxiv

0+阅读 · 1月31日

LLMStinger: Jailbreaking LLMs using RL fine-tuned LLMs

Arxiv

0+阅读 · 1月28日

TROJail: Trajectory-Level Optimization for Multi-Turn Large Language Model Jailbreaks with Process Rewards

Arxiv

0+阅读 · 1月13日

相关基金

基于智能模糊测试的深度漏洞挖掘技术研究

国家自然科学基金

4+阅读 · 2017年12月31日

基于学习的智能化漏洞挖掘关键技术研究

国家自然科学基金

6+阅读 · 2017年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于海量软件片段比对的恶意代码检测方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

即时通信中的隐蔽通信模型及方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复

国家自然科学基金

0+阅读 · 2015年12月31日

基于网络活动分析的窃密木马检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

隐写模糊安全性测度及其优化嵌入算法研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于免疫的Rootkit隐遁攻击动态内存取证方法研究

国家自然科学基金

0+阅读 · 2014年12月31日

多语言大数据环境下的复杂网络行为分析、预测和干预

国家自然科学基金

4+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员