Mind the Gap: A Practical Attack on GGUF Quantization

要約

フロンティアLLMのサイズが増加すると、トレーニング後の量子化がメモリ効率の高い展開の標準になりました。
最近の研究では、基本的な丸めベースの量子化スキームがセキュリティリスクを引き起こすことが示されています。これは、悪意のある行動を完全に正確に隠したままの量子モデルに注入するために悪用できるためです。
ただし、人気のある「Ollama」や `llama.cpp`フレームワークで使用されるGGUFファミリーなど、より複雑な量子化方法に既存の攻撃を適用することはできません。
この作業では、GGUFに対する最初の攻撃を導入することにより、このギャップに対処します。
私たちの重要な洞察は、量子化誤差 – 全精度の重みとその（de-）量子化バージョンの違いは、完全に正確に良性と思われる悪意のある量子化モデルを構築するのに十分な柔軟性を提供することです。
これを活用して、ターゲットの悪意のあるLLMを訓練しながら、量子化エラーに基づいてその重みを制約する攻撃を開発します。
3つの多様な攻撃シナリオに関する9つのGGUF量子化データ型にわたる3つの一般的なLLMに対する攻撃の有効性を実証します：不安定なコード生成（$ \ delta $ = $ 88.7 \％$）、ターゲットコンテンツインジェクション（$ \ delta $ = $ 85.0 \％$）、およびvenign delign refurusal（$ \ delta $ $ 30.1）。
私たちの攻撃は、（1）トレーニング後の最も広く使用されている量子化方法が敵対的な干渉の影響を受けやすく、（2）量子化スキームの複雑さだけでは防御として不十分であることを強調しています。

要約(オリジナル)

With the increasing size of frontier LLMs, post-training quantization has become the standard for memory-efficient deployment. Recent work has shown that basic rounding-based quantization schemes pose security risks, as they can be exploited to inject malicious behaviors into quantized models that remain hidden in full precision. However, existing attacks cannot be applied to more complex quantization methods, such as the GGUF family used in the popular `ollama` and `llama.cpp` frameworks. In this work, we address this gap by introducing the first attack on GGUF. Our key insight is that the quantization error — the difference between the full-precision weights and their (de-)quantized version — provides sufficient flexibility to construct malicious quantized models that appear benign in full precision. Leveraging this, we develop an attack that trains the target malicious LLM while constraining its weights based on quantization errors. We demonstrate the effectiveness of our attack on three popular LLMs across nine GGUF quantization data types on three diverse attack scenarios: insecure code generation ($\Delta$=$88.7\%$), targeted content injection ($\Delta$=$85.0\%$), and benign instruction refusal ($\Delta$=$30.1\%$). Our attack highlights that (1) the most widely used post-training quantization method is susceptible to adversarial interferences, and (2) the complexity of quantization schemes alone is insufficient as a defense.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google