Tree of Attacks: Jailbreaking Black-Box LLMs Automatically

要約

大規模言語モデル(Large Language Models: LLM)は多彩な機能を発揮する一方で、人間が設計したジェイルブレイクの蔓延が示すように、有害で偏った有害なコンテンツを生成し続けている。本研究では、Tree of Attacks with Pruning (TAP)を発表する。TAPは、ジェイルブレイクを生成するための自動化手法であり、ターゲットLLMへのブラックボックスアクセスのみを必要とする。TAPは、生成されたプロンプトの1つがターゲットをジェイルブレイクするまで、Tree of Thought推論を使用して候補(攻撃)プロンプトを反復的に洗練するためにLLMを利用します。重要な点は、プロンプトをターゲットに送信する前に、TAPはプロンプトを評価し、ジェイルブレイクにつながりそうもないプロンプトを選別することである。思考の木の推論を使用することで、TAPはプロンプトの大きな探索空間をナビゲートすることができ、プルーニングはターゲットに送信されるクエリの総数を削減する。経験的な評価では、TAPはわずかな数のクエリを使用して、プロンプトの80%以上で最先端のLLM(GPT4とGPT4-Turboを含む)をジェイルブレイクするプロンプトを生成することが観察された。これは、ジェイルブレイクを生成するための従来の最先端のブラックボックス手法を大幅に改善するものである。

要約(オリジナル)

While Large Language Models (LLMs) display versatile functionality, they continue to generate harmful, biased, and toxic content, as demonstrated by the prevalence of human-designed jailbreaks. In this work, we present Tree of Attacks with Pruning (TAP), an automated method for generating jailbreaks that only requires black-box access to the target LLM. TAP utilizes an LLM to iteratively refine candidate (attack) prompts using tree-of-thoughts reasoning until one of the generated prompts jailbreaks the target. Crucially, before sending prompts to the target, TAP assesses them and prunes the ones unlikely to result in jailbreaks. Using tree-of-thought reasoning allows TAP to navigate a large search space of prompts and pruning reduces the total number of queries sent to the target. In empirical evaluations, we observe that TAP generates prompts that jailbreak state-of-the-art LLMs (including GPT4 and GPT4-Turbo) for more than 80% of the prompts using only a small number of queries. This significantly improves upon the previous state-of-the-art black-box method for generating jailbreaks.

arxiv情報

著者 Anay Mehrotra,Manolis Zampetakis,Paul Kassianik,Blaine Nelson,Hyrum Anderson,Yaron Singer,Amin Karbasi
発行日 2023-12-04 18:49:23+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, DeepL

カテゴリー: cs.AI, cs.CL, cs.CR, cs.LG, stat.ML パーマリンク