关键这只是宾夕法尼亚大学研究团队晒出的一小波漏洞，而用上他们最新开发的算法，AI可以自动生成各种攻击提示。

　　研究人员表示，这种方法相比于，效率提高了5个量级。而且生成的攻击可解释性强，谁都能看懂，还能迁移到其它模型。

　　话说，这种对话模式好像有些似曾相识。多年前的初代AI，20个问题之内就能破解人类脑中想的是什么对象。

　　另一种是基于token的攻击，有的需要超十万次对话，且需要访问模型内部，还包含“乱码”不可解释。

　　宾夕法尼亚大学研究团队提出了一种叫PAIR（Prompt Automatic Iterative Refinement）的算法，不需要任何人工参与，是一种全自动提示攻击方法。

　　PAIR涉及四个主要步骤：攻击生成、目标响应、越狱评分和迭代细化；主要用到两个黑盒模型：攻击模型、目标模型。

　　具体来说，攻击模型需要自动生成语义级别的提示，来攻破目标模型的安全防线，迫使其生成有害内容。

　　如果这次回复没有成功攻破目标模型，那么攻击模型会分析这次失败的原因，改进并生成一个新的提示，再输入到目标模型中。

　　这样持续交流多轮，攻击模型每次根据上一次的结果来迭代优化提示，直到生成一个成功的提示将目标模型攻破。

　　此外，迭代过程还可以并行怎么翻墙用google，也就是可以同时运行多个对话，从而产生多个候选越狱提示，进一步提高了效率。

　　实验阶段，研究人员在有害行为数据集AdvBench中选出了一个具有代表性的、包含50个不同类型任务的测试集，在多种开源和闭源大语言模型上测试了PAIR算法。

　　闭源模型中，GPT-3.5和GPT-4越狱成功率在60%左右，平均用了不到20步。在PaLM-2上成功率达到72%，步数约为15步。

　　但是PAIR在Llama-2和Claude上的效果较差，研究人员认为这可能是因为这些模型在安全防御上做了更为严格的微调。

　　他们还比较了不同目标模型的可转移性。结果显示，PAIR的GPT-4提示在Vicuna和PaLM-2上转移效果较好。

　　研究人员认为，PAIR生成的语义攻击更能暴露语言模型固有的安全缺陷，而现有的安全措施更侧重防御基于token的攻击。

　　就比如开发出GCG算法的团队，将研究结果分享给OpenAI、Anthropic和Google等大模型厂商后，相关模型修复了token级攻击漏洞。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。