MRJ-Agent: An Effective Jailbreak Agent for Multi-Round Dialogue

要約

大規模言語モデル (LLM) は、知識と理解能力の宝庫として優れたパフォーマンスを発揮しますが、ジェイルブレイク攻撃を受けると違法または非倫理的な反応を起こしやすいこともわかっています。
重要なアプリケーションに責任を持って展開するには、LLM の安全機能と脆弱性を理解することが重要です。
これまでの作品は主にシングルラウンド対話でのジェイルブレイクに焦点を当てており、人間がLLMと対話し、LLMから情報を抽出する重要な方法であるマルチラウンド対話での潜在的なジェイルブレイクのリスクを見落としていました。
一部の研究では、複数ラウンドの対話における脱獄に関連するリスクにますます重点が置かれています。
これらの取り組みには通常、手動で作成されたテンプレートまたは即時エンジニアリング技術の使用が含まれます。
ただし、複数ラウンドの対話には固有の複雑さがあるため、脱獄のパフォーマンスには限界があります。
この問題を解決するために、私たちは、LLM によってもたらされる人間の価値に対する潜在的な脅威を特定し、軽減する際のステルス性の重要性を強調する、新しいマルチラウンド対話脱獄エージェントを提案します。
私たちは、複数ラウンドのクエリにリスクを分散し、心理的戦略を利用して攻撃力を強化するリスク分解戦略を提案します。
広範な実験により、私たちの提案手法が他の攻撃手法を上回り、最先端の攻撃成功率を達成することが示されています。
対応するコードとデータセットを将来の研究に利用できるようにする予定です。
コードは近日公開予定です。

要約(オリジナル)

Large Language Models (LLMs) demonstrate outstanding performance in their reservoir of knowledge and understanding capabilities, but they have also been shown to be prone to illegal or unethical reactions when subjected to jailbreak attacks. To ensure their responsible deployment in critical applications, it is crucial to understand the safety capabilities and vulnerabilities of LLMs. Previous works mainly focus on jailbreak in single-round dialogue, overlooking the potential jailbreak risks in multi-round dialogues, which are a vital way humans interact with and extract information from LLMs. Some studies have increasingly concentrated on the risks associated with jailbreak in multi-round dialogues. These efforts typically involve the use of manually crafted templates or prompt engineering techniques. However, due to the inherent complexity of multi-round dialogues, their jailbreak performance is limited. To solve this problem, we propose a novel multi-round dialogue jailbreaking agent, emphasizing the importance of stealthiness in identifying and mitigating potential threats to human values posed by LLMs. We propose a risk decomposition strategy that distributes risks across multiple rounds of queries and utilizes psychological strategies to enhance attack strength. Extensive experiments show that our proposed method surpasses other attack methods and achieves state-of-the-art attack success rate. We will make the corresponding code and dataset available for future research. The code will be released soon.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google