Large Language Models are Good Attackers: Efficient and Stealthy Textual Backdoor Attacks

要約

自然言語処理 (NLP) 分野の急速な進歩に伴い、トレーニング データの需要が大幅に増加しています。
コストを節約するために、ユーザーや企業がデータ収集という労働集約的なタスクをサードパーティ事業体にアウトソーシングすることが一般的になりました。
残念なことに、最近の研究では、特に NLP システムを潜在的なバックドア攻撃にさらす場合に、この実践に伴う固有のリスクが明らかになりました。
具体的には、これらの攻撃は、トレーニング データのごく一部を汚染することにより、トレーニング済みモデルの動作に対する悪意のある制御を可能にします。
コンピュータ ビジョンにおけるバックドア攻撃とは異なり、テキスト バックドア攻撃では、攻撃のステルス性について厳しい要件が課されます。
しかし、既存の攻撃手法は、テキスト データに固有の高い情報エントロピーが主な原因で、有効性とステルス性の間に大きなトレードオフがあります。
このペーパーでは、大規模言語モデル (LLM) を活用した、効率的でステルスなテキスト バックドア攻撃手法 EST-Bad を紹介します。
当社の EST-Bad には、モデル固有の欠陥をトリガーとして最適化すること、LLM を使用してトリガーをこっそり挿入すること、バックドア挿入用に最も影響力のあるサンプルを慎重に選択するという 3 つの核となる戦略が含まれています。
これらの技術の統合により、EST-Bad は、さまざまなテキスト分類データセットにわたって従来の方法と比較して優れたステルス性を維持しながら、競争力のある攻撃パフォーマンスを効率的に達成することを実証します。

要約(オリジナル)

With the burgeoning advancements in the field of natural language processing (NLP), the demand for training data has increased significantly. To save costs, it has become common for users and businesses to outsource the labor-intensive task of data collection to third-party entities. Unfortunately, recent research has unveiled the inherent risk associated with this practice, particularly in exposing NLP systems to potential backdoor attacks. Specifically, these attacks enable malicious control over the behavior of a trained model by poisoning a small portion of the training data. Unlike backdoor attacks in computer vision, textual backdoor attacks impose stringent requirements for attack stealthiness. However, existing attack methods meet significant trade-off between effectiveness and stealthiness, largely due to the high information entropy inherent in textual data. In this paper, we introduce the Efficient and Stealthy Textual backdoor attack method, EST-Bad, leveraging Large Language Models (LLMs). Our EST-Bad encompasses three core strategies: optimizing the inherent flaw of models as the trigger, stealthily injecting triggers with LLMs, and meticulously selecting the most impactful samples for backdoor injection. Through the integration of these techniques, EST-Bad demonstrates an efficient achievement of competitive attack performance while maintaining superior stealthiness compared to prior methods across various text classifier datasets.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google