Tree of Attacks: Jailbreaking Black-Box LLMs Automatically

要約

大規模言語モデル (LLM) は多用途の機能を示しますが、人間が設計したジェイルブレイクの蔓延が示すように、有害で偏った有害なコンテンツを生成し続けています。
この研究では、ターゲット LLM へのブラックボックス アクセスのみを必要とするジェイルブレイクを生成するための自動化された方法である Tree of Attacks with Pruning (TAP) を紹介します。
TAP は、攻撃者 LLM を利用して、洗練されたプロンプトの 1 つがターゲットをジェイルブレイクするまで、候補 (攻撃) プロンプトを繰り返し洗練します。
さらに、TAP はプロンプトをターゲットに送信する前にプロンプ​​トを評価し、ジェイルブレイクにつながる可能性の低いプロンプトを削除して、ターゲット LLM に送信されるクエリの数を減らします。
実証的評価では、TAP がプロンプトの 80% 以上で最先端の LLM (GPT4-Turbo および GPT4o を含む) をジェイルブレイクするプロンプトを生成することが観察されています。
これにより、以前の最先端のブラックボックス方式よりも少ないクエリ数でジェイルブレイクを生成する方法が大幅に改善されました。
さらに、TAP は、LlamaGuard などの最先端のガードレールで保護されている LLM をジェイルブレイクすることもできます。

要約(オリジナル)

While Large Language Models (LLMs) display versatile functionality, they continue to generate harmful, biased, and toxic content, as demonstrated by the prevalence of human-designed jailbreaks. In this work, we present Tree of Attacks with Pruning (TAP), an automated method for generating jailbreaks that only requires black-box access to the target LLM. TAP utilizes an attacker LLM to iteratively refine candidate (attack) prompts until one of the refined prompts jailbreaks the target. In addition, before sending prompts to the target, TAP assesses them and prunes the ones unlikely to result in jailbreaks, reducing the number of queries sent to the target LLM. In empirical evaluations, we observe that TAP generates prompts that jailbreak state-of-the-art LLMs (including GPT4-Turbo and GPT4o) for more than 80% of the prompts. This significantly improves upon the previous state-of-the-art black-box methods for generating jailbreaks while using a smaller number of queries than them. Furthermore, TAP is also capable of jailbreaking LLMs protected by state-of-the-art guardrails, e.g., LlamaGuard.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google