会员服务
攻击 · 对抗 · 抗攻击 · 不确定 · 不确定性 ·
3 月 24 日
Injecting Falsehoods: Adversarial Man-in-the-Middle Attacks Undermining Factual Recall in LLMs
翻译:注入谎言:中间人对抗攻击削弱LLMs的事实记忆能力
Alina Fastowski,Bardh Prenkaj,Yuxiao Li,Gjergji Kasneci
Alina Fastowski,Bardh Prenkaj,Yuxiao Li,Gjergji Kasneci

LLMs are now an integral part of information retrieval. As such, their role as question answering chatbots raises significant concerns due to their shown vulnerability to adversarial man-in-the-middle (MitM) attacks. Here, we propose the first principled attack evaluation on LLM factual memory under prompt injection via Xmera, our novel, theory-grounded MitM framework. By perturbing the input given to "victim" LLMs in three closed-book and fact-based QA settings, we undermine the correctness of the responses and assess the uncertainty of their generation process. Surprisingly, trivial instruction-based attacks report the highest success rate (up to ~85.3%) while simultaneously having a high uncertainty for incorrectly answered questions. To provide a simple defense mechanism against Xmera, we train Random Forest classifiers on the response uncertainty levels to distinguish between attacked and unattacked queries (average AUC of up to ~94.8%). We believe that signaling users to be cautious about the answers they receive from black-box and potentially corrupt LLMs is a first checkpoint toward user cyberspace safety.


翻译:大语言模型(LLMs)现已成为信息检索系统的核心组成部分。作为问答型聊天机器人,其面临中间人(MitM)对抗攻击的脆弱性引发了严重关切。本文首次提出基于严格理论构建的Xmera新型中间人攻击框架,系统研究提示注入对LLM事实记忆的攻击评估。通过在三个闭卷事实问答场景中扰动目标LLM的输入,我们不仅破坏了响应正确性,还量化了生成过程的不确定性。令人惊讶的是,基于简单指令的攻击方法同时实现了最高成功率(约85.3%)与错误答案的高不确定性。为提供针对Xmera的简易防御机制,我们利用响应不确定性水平训练随机森林分类器以区分被攻击与未受攻击查询(平均AUC达约94.8%)。我们认为,向用户警示其从黑盒且可能被污染的LLM获取的答案需审慎对待,是实现用户网络安全的第一道防线。
0
下载
关闭预览

相关内容

大语言模型机器遗忘综述
大语言模型机器遗忘综述
专知会员服务
18+阅读 · 2025年11月2日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
专知会员服务
14+阅读 · 2025年2月14日
TransMLA:多头潜在注意力(MLA)即为所需
TransMLA:多头潜在注意力(MLA)即为所需
专知会员服务
23+阅读 · 2025年2月13日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
32+阅读 · 2024年9月26日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
64+阅读 · 2024年3月4日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
专知
22+阅读 · 2020年3月19日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
注意力能提高模型可解释性?实验表明:并没有
注意力能提高模型可解释性?实验表明:并没有
黑龙江大学自然语言处理实验室
11+阅读 · 2019年4月16日
论文浅尝 | 嵌入常识知识的注意力 LSTM 模型用于特定目标的基于侧面的情感分析
论文浅尝 | 嵌入常识知识的注意力 LSTM 模型用于特定目标的基于侧面的情感分析
开放知识图谱
28+阅读 · 2018年6月11日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
基于虚拟现实的认知负荷与情绪干扰交互性分析关键技术研究
国家自然科学基金
1+阅读 · 2017年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于格值逻辑的语言真值α-群锁语义归结自动推理研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
面向交互式问答的省略恢复技术研究
国家自然科学基金
5+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
AttackonCTF: Defending Hardware Security Competition Benchmarks in the Age of LLMs
Arxiv
0+阅读 · 6月14日
One Token to Fool LLM-as-a-Judge
Arxiv
0+阅读 · 6月11日
LLMs Can Better Capture Human Judgments--With the Right Prompts
Arxiv
0+阅读 · 6月10日
REAL: A Reasoning-Enhanced Graph Framework for Long-Term Memory Management of LLMs
Arxiv
0+阅读 · 6月9日
Defenses & Enablers For Skill Injection Attacks on Terminal Based Agents
Arxiv
0+阅读 · 6月7日
LLMs, Reasoning and Plagiarism
Arxiv
0+阅读 · 6月2日
LLM-as-a-Reviewer: Benchmarking Their Ability, Divergence, and Prompt Injection Resistance as Paper Reviewers
Arxiv
0+阅读 · 5月25日
Evo-Attacker: Memory-Augmented Reinforcement Learning for Long-Horizon Tool Attacks on LLM-MAS
Arxiv
0+阅读 · 5月25日
Lying with Truths: Open-Channel Multi-Agent Collusion for Belief Manipulation via Generative Montage
Arxiv
0+阅读 · 5月18日
Learning is Forgetting: LLM Training As Lossy Compression
Arxiv
0+阅读 · 4月8日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
对抗
抗攻击
不确定
不确定性
最新内容
《意识即战场——全球安全体系中认知战的演进:乌克兰构建认知作战体系的展望》
《意识即战场——全球安全体系中认知战的演进:乌克兰构建认知作战体系的展望》
专知会员服务
0+阅读 · 14分钟前
无美国参与的欧洲战争方式(万字长文)
无美国参与的欧洲战争方式(万字长文)
专知会员服务
0+阅读 · 28分钟前
重构“下一场战争”的制胜理论:超越兰彻斯特方程与现代系统
重构“下一场战争”的制胜理论:超越兰彻斯特方程与现代系统
专知会员服务
0+阅读 · 今天5:22
《国防工业中基于模型定义的实施:产品定义数字化转型的战略路径》90页
《国防工业中基于模型定义的实施:产品定义数字化转型的战略路径》90页
专知会员服务
1+阅读 · 今天5:15
《国防领域敏感性分析白皮书》
《国防领域敏感性分析白皮书》
专知会员服务
0+阅读 · 今天3:42
综述 | 从问答到任务完成:Agent系统与Harness设计
综述 | 从问答到任务完成:Agent系统与Harness设计
专知会员服务
4+阅读 · 6月24日
Agentic RL:框架、实践与长程智能体训练
Agentic RL:框架、实践与长程智能体训练
专知会员服务
3+阅读 · 6月24日
反无人机拦截器训练与运用课程:对美国陆军部队发展的启示
反无人机拦截器训练与运用课程:对美国陆军部队发展的启示
专知会员服务
8+阅读 · 6月24日
重新思考无人机时代的生存能力
重新思考无人机时代的生存能力
专知会员服务
6+阅读 · 6月24日
装甲突击旅:现代战争思考、战斗与组织
装甲突击旅:现代战争思考、战斗与组织
专知会员服务
5+阅读 · 6月24日
在人工智能加速决策环境中拓展OODA循环
在人工智能加速决策环境中拓展OODA循环
专知会员服务
7+阅读 · 6月24日
《廉价自杀式无人机战争的军事战略影响:乌克兰与伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰与伊朗案例研究》
专知会员服务
6+阅读 · 6月24日
军事欺骗:供作战战术指挥官使用的工具
军事欺骗:供作战战术指挥官使用的工具
专知会员服务
5+阅读 · 6月24日
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
专知会员服务
4+阅读 · 6月23日
综述 | 世界动作模型:少做梦,多行动
综述 | 世界动作模型:少做梦,多行动
专知会员服务
7+阅读 · 6月23日
相关VIP内容
大语言模型机器遗忘综述
大语言模型机器遗忘综述
专知会员服务
18+阅读 · 2025年11月2日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
【ICLR2025】LLMS能否识别您的偏好?评估LLMS中的个性化偏好遵循能力
专知会员服务
14+阅读 · 2025年2月14日
TransMLA:多头潜在注意力(MLA)即为所需
TransMLA:多头潜在注意力(MLA)即为所需
专知会员服务
23+阅读 · 2025年2月13日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
32+阅读 · 2024年9月26日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
64+阅读 · 2024年3月4日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
【复旦大学】最新《预训练语言模型》2020综述论文大全,50+PTMs分类体系,25页pdf205篇参考文献
专知
22+阅读 · 2020年3月19日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
注意力能提高模型可解释性?实验表明:并没有
注意力能提高模型可解释性?实验表明:并没有
黑龙江大学自然语言处理实验室
11+阅读 · 2019年4月16日
论文浅尝 | 嵌入常识知识的注意力 LSTM 模型用于特定目标的基于侧面的情感分析
论文浅尝 | 嵌入常识知识的注意力 LSTM 模型用于特定目标的基于侧面的情感分析
开放知识图谱
28+阅读 · 2018年6月11日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
相关论文
AttackonCTF: Defending Hardware Security Competition Benchmarks in the Age of LLMs
Arxiv
0+阅读 · 6月14日
One Token to Fool LLM-as-a-Judge
Arxiv
0+阅读 · 6月11日
LLMs Can Better Capture Human Judgments--With the Right Prompts
Arxiv
0+阅读 · 6月10日
REAL: A Reasoning-Enhanced Graph Framework for Long-Term Memory Management of LLMs
Arxiv
0+阅读 · 6月9日
Defenses & Enablers For Skill Injection Attacks on Terminal Based Agents
Arxiv
0+阅读 · 6月7日
LLMs, Reasoning and Plagiarism
Arxiv
0+阅读 · 6月2日
LLM-as-a-Reviewer: Benchmarking Their Ability, Divergence, and Prompt Injection Resistance as Paper Reviewers
Arxiv
0+阅读 · 5月25日
Evo-Attacker: Memory-Augmented Reinforcement Learning for Long-Horizon Tool Attacks on LLM-MAS
Arxiv
0+阅读 · 5月25日
Lying with Truths: Open-Channel Multi-Agent Collusion for Belief Manipulation via Generative Montage
Arxiv
0+阅读 · 5月18日
Learning is Forgetting: LLM Training As Lossy Compression
Arxiv
0+阅读 · 4月8日
相关基金
基于虚拟现实的认知负荷与情绪干扰交互性分析关键技术研究
国家自然科学基金
1+阅读 · 2017年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于格值逻辑的语言真值α-群锁语义归结自动推理研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
面向交互式问答的省略恢复技术研究
国家自然科学基金
5+阅读 · 2015年12月31日
强调与对比影响语篇理解的认知过程及其神经机制
国家自然科学基金
4+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top