会员服务
CoT · 输出 · 思维链 · 嵌入 · 适配 ·
4 月 10 日
Unreal Thinking: Chain-of-Thought Hijacking via Two-stage Backdoor
翻译:虚幻思维:通过两阶段后门实现的思维链劫持
Wenhan Chang,Tianqing Zhu,Ping Xiong,Faqian Guan,Wanlei Zhou
Wenhan Chang,Tianqing Zhu,Ping Xiong,Faqian Guan,Wanlei Zhou
from arxiv, 18 pages, 4 figures

Large Language Models (LLMs) are increasingly deployed in settings where Chain-of-Thought (CoT) is interpreted by users. This creates a new safety risk: attackers may manipulate the model's observable CoT to make malicious behaviors. In open-weight ecosystems, such manipulation can be embedded in lightweight adapters that are easy to distribute and attach to base models. In practice, persistent CoT hijacking faces three main challenges: the difficulty of directly hijacking CoT tokens within one continuous long CoT-output sequence while maintaining stable downstream outputs, the scarcity of malicious CoT data, and the instability of naive backdoor injection methods. To address the data scarcity issue, we propose Multiple Reverse Tree Search (MRTS), a reverse synthesis procedure that constructs output-aligned CoTs from prompt-output pairs without directly eliciting malicious CoTs from aligned models. Building on MRTS, we introduce Two-stage Backdoor Hijacking (TSBH), which first induces a trigger-conditioned mismatch between intermediate CoT and malicious outputs, and then fine-tunes the model on MRTS-generated CoTs that have lower embedding distance to the malicious outputs, thereby ensuring stronger semantic similarity. Experiments across multiple open-weight models demonstrate that our method successfully induces trigger-activated CoT hijacking while maintaining a quantifiable distinction between hijacked and baseline states under our evaluation framework. We further explore a reasoning-based mitigation approach and release a safety-reasoning dataset to support future research on safety-aware and reliable reasoning. Our code is available at https://github.com/ChangWenhan/TSBH_official.


翻译:大型语言模型(LLMs)日益部署在用户解读思维链(Chain-of-Thought, CoT)的场景中。这带来新的安全风险:攻击者可能操控模型可观察的CoT以实施恶意行为。在开放权重生态系统中,此类操控可嵌入轻量级适配器中,这些适配器易于分发并附加至基础模型。实践中,持久性CoT劫持面临三大挑战:在单个连续长CoT输出序列中直接劫持CoT令牌的同时保持下游输出的稳定性、恶意CoT数据的稀缺性,以及朴素后门注入方法的不稳定性。为解决数据稀缺问题,我们提出多轮反向树搜索(Multiple Reverse Tree Search, MRTS),这是一种反向合成流程,可从提示-输出对中构建与输出对齐的CoT,而无需直接从对齐模型引出恶意CoT。基于MRTS,我们引入两阶段后门劫持(Two-stage Backdoor Hijacking, TSBH),该方法首先诱导中间CoT与恶意输出之间产生触发条件失配,随后在MRTS生成的CoT上微调模型——这些CoT与恶意输出具有更低的嵌入距离,从而确保更强的语义相似性。跨多个开放权重模型的实验表明,我们的方法成功实现了触发激活的CoT劫持,同时在评估框架下保持劫持状态与基线状态之间的可量化区分度。我们进一步探索了基于推理的缓解方法,并发布安全推理数据集,以支持未来关于安全感知与可靠推理的研究。代码开源地址:https://github.com/ChangWenhan/TSBH_official。
0
下载
关闭预览

相关内容

基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
专知会员服务
32+阅读 · 2025年9月27日
超越语言的推理:潜在思维链推理的综合综述
超越语言的推理:潜在思维链推理的综合综述
专知会员服务
22+阅读 · 2025年5月23日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
超越思维链:大型语言模型的X链范式综述
超越思维链:大型语言模型的X链范式综述
专知会员服务
53+阅读 · 2024年4月28日
【AAAI2024】KAM-CoT: 知识增强的多模态思维链推理
【AAAI2024】KAM-CoT: 知识增强的多模态思维链推理
专知会员服务
45+阅读 · 2024年1月24日
大模型幻觉如何克服?哈工大等最新《大型语言模型中的幻觉现象》综述,详述原理、分类、挑战与未解之谜
大模型幻觉如何克服?哈工大等最新《大型语言模型中的幻觉现象》综述,详述原理、分类、挑战与未解之谜
专知会员服务
82+阅读 · 2023年11月12日
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
专知会员服务
72+阅读 · 2023年9月7日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
大模型如何从思维链(CoT),到思维树(ToT),再到思维图(GoT):用LLMs解决复杂问题!
大模型如何从思维链(CoT),到思维树(ToT),再到思维图(GoT):用LLMs解决复杂问题!
专知会员服务
78+阅读 · 2023年9月3日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
44+阅读 · 2023年8月22日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
【加州理工】什么是模仿学习(Imitation Learning(模仿学习), 这62页ppt带你了解进展,附下载
【加州理工】什么是模仿学习(Imitation Learning(模仿学习), 这62页ppt带你了解进展,附下载
专知
21+阅读 · 2019年11月14日
绝对干货!NLP预训练模型:从transformer到albert
绝对干货!NLP预训练模型:从transformer到albert
新智元
13+阅读 · 2019年11月10日
深度学习的下一步:Transformer和注意力机制
深度学习的下一步:Transformer和注意力机制
云头条
56+阅读 · 2019年9月14日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
深入理解BERT Transformer ,不仅仅是注意力机制
深入理解BERT Transformer ,不仅仅是注意力机制
大数据文摘
22+阅读 · 2019年3月19日
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
专知
17+阅读 · 2018年6月7日
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
机器之心
11+阅读 · 2018年1月8日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
网络用户隐私担忧与主动性泄露隐私信息之间的悖论:理论探索和基于社交网络的实证研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning
Arxiv
0+阅读 · 4月30日
PARASITE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 4月26日
Render-of-Thought: Rendering Textual Chain-of-Thought as Images for Visual Latent Reasoning
Arxiv
0+阅读 · 4月19日
Beyond "Hallucinations": A Framework for Stable Human-AI Reasoning
Arxiv
0+阅读 · 4月16日
ConfusionPrompt: Practical Private Inference for Online Large Language Models
Arxiv
0+阅读 · 4月8日
Think Anywhere in Code Generation
Arxiv
0+阅读 · 4月2日
Aligned, Orthogonal or In-conflict: When can we safely optimize Chain-of-Thought?
Arxiv
0+阅读 · 3月31日
Think Anywhere in Code Generation
Arxiv
0+阅读 · 3月31日
MonitorBench: A Comprehensive Benchmark for Chain-of-Thought Monitorability in Large Language Models
Arxiv
0+阅读 · 3月30日
The Hidden Puppet Master: Predicting Human Belief Change in Manipulative LLM Dialogues
Arxiv
0+阅读 · 3月27日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
CoT
输出
思维链
嵌入
适配
最新内容
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
5+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
2+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
2+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
13+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
12+阅读 · 6月18日
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
12+阅读 · 6月18日
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
ICML 2026 | FR3D:解耦自车运动的未来动态三维重建世界模型
专知会员服务
8+阅读 · 6月17日
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体
专知会员服务
13+阅读 · 6月17日
学习数据的几何:形状空间分析数学综述
学习数据的几何:形状空间分析数学综述
专知会员服务
9+阅读 · 6月17日
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
《现代防空系统综述:架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述
专知会员服务
22+阅读 · 6月17日
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
11+阅读 · 6月17日
相关VIP内容
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
专知会员服务
32+阅读 · 2025年9月27日
超越语言的推理:潜在思维链推理的综合综述
超越语言的推理:潜在思维链推理的综合综述
专知会员服务
22+阅读 · 2025年5月23日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
超越思维链:大型语言模型的X链范式综述
超越思维链:大型语言模型的X链范式综述
专知会员服务
53+阅读 · 2024年4月28日
【AAAI2024】KAM-CoT: 知识增强的多模态思维链推理
【AAAI2024】KAM-CoT: 知识增强的多模态思维链推理
专知会员服务
45+阅读 · 2024年1月24日
大模型幻觉如何克服?哈工大等最新《大型语言模型中的幻觉现象》综述,详述原理、分类、挑战与未解之谜
大模型幻觉如何克服?哈工大等最新《大型语言模型中的幻觉现象》综述,详述原理、分类、挑战与未解之谜
专知会员服务
82+阅读 · 2023年11月12日
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
专知会员服务
72+阅读 · 2023年9月7日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
大模型如何从思维链(CoT),到思维树(ToT),再到思维图(GoT):用LLMs解决复杂问题!
大模型如何从思维链(CoT),到思维树(ToT),再到思维图(GoT):用LLMs解决复杂问题!
专知会员服务
78+阅读 · 2023年9月3日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
44+阅读 · 2023年8月22日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
【加州理工】什么是模仿学习(Imitation Learning(模仿学习), 这62页ppt带你了解进展,附下载
【加州理工】什么是模仿学习(Imitation Learning(模仿学习), 这62页ppt带你了解进展,附下载
专知
21+阅读 · 2019年11月14日
绝对干货!NLP预训练模型:从transformer到albert
绝对干货!NLP预训练模型:从transformer到albert
新智元
13+阅读 · 2019年11月10日
深度学习的下一步:Transformer和注意力机制
深度学习的下一步:Transformer和注意力机制
云头条
56+阅读 · 2019年9月14日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
深入理解BERT Transformer ,不仅仅是注意力机制
深入理解BERT Transformer ,不仅仅是注意力机制
大数据文摘
22+阅读 · 2019年3月19日
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
【论文推荐】最新六篇视觉问答相关论文—鲁棒性分析、虚拟意象、双曲注意力网络、R-VQA、关系推理、双线性注意力网络
专知
17+阅读 · 2018年6月7日
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
纵览轻量化卷积神经网络:SqueezeNet、MobileNet、ShuffleNet、Xception
机器之心
11+阅读 · 2018年1月8日
相关论文
TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning
Arxiv
0+阅读 · 4月30日
PARASITE: Conditional System Prompt Poisoning to Hijack LLMs
Arxiv
0+阅读 · 4月26日
Render-of-Thought: Rendering Textual Chain-of-Thought as Images for Visual Latent Reasoning
Arxiv
0+阅读 · 4月19日
Beyond "Hallucinations": A Framework for Stable Human-AI Reasoning
Arxiv
0+阅读 · 4月16日
ConfusionPrompt: Practical Private Inference for Online Large Language Models
Arxiv
0+阅读 · 4月8日
Think Anywhere in Code Generation
Arxiv
0+阅读 · 4月2日
Aligned, Orthogonal or In-conflict: When can we safely optimize Chain-of-Thought?
Arxiv
0+阅读 · 3月31日
Think Anywhere in Code Generation
Arxiv
0+阅读 · 3月31日
MonitorBench: A Comprehensive Benchmark for Chain-of-Thought Monitorability in Large Language Models
Arxiv
0+阅读 · 3月30日
The Hidden Puppet Master: Predicting Human Belief Change in Manipulative LLM Dialogues
Arxiv
0+阅读 · 3月27日
相关基金
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
网络用户隐私担忧与主动性泄露隐私信息之间的悖论:理论探索和基于社交网络的实证研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top