Fugu-MT 論文翻訳(概要): Wolf Hidden in Sheep's Conversations: Toward Harmless Data-Based Backdoor Attacks for Jailbreaking Large Language Models

論文の概要: Wolf Hidden in Sheep's Conversations: Toward Harmless Data-Based Backdoor Attacks for Jailbreaking Large Language Models

arxiv url: http://arxiv.org/abs/2505.17601v2
Date: Wed, 28 May 2025 07:00:15 GMT
ステータス: 翻訳完了
システム内更新日: 2025-05-29 12:33:41.719761
Title: Wolf Hidden in Sheep's Conversations: Toward Harmless Data-Based Backdoor Attacks for Jailbreaking Large Language Models
Title（参考訳）: シープの会話に隠されたWolf:大規模言語モデルをジェイルブレイクするための無害データベースのバックドアアタックを目指して
Authors: Jiawei Kong, Hao Fang, Xiaochen Yang, Kuofeng Gao, Bin Chen, Shu-Tao Xia, Yaowei Wang, Min Zhang,
Abstract要約: Supervised Fine-tuning (SFT) は、大きな言語モデルと人間の意図を協調させ、ラベル付きタスク固有データでトレーニングする。近年の研究では、悪意のある攻撃者が、有害な質問応答ペアにトリガーを埋め込むことで、これらのモデルにバックドアを注入できることが示されている。脱獄性LLMに対する新しいクリーンデータバックドアアタックを提案する。
参考スコア（独自算出の注目度）: 69.11679786018206
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Supervised fine-tuning (SFT) aligns large language models (LLMs) with human intent by training them on labeled task-specific data. Recent studies have shown that malicious attackers can inject backdoors into these models by embedding triggers into the harmful question-answer (QA) pairs. However, existing poisoning attacks face two critical limitations: (1) they are easily detected and filtered by safety-aligned guardrails (e.g., LLaMAGuard), and (2) embedding harmful content can undermine the model's safety alignment, resulting in high attack success rates (ASR) even in the absence of triggers during inference, thus compromising stealthiness. To address these issues, we propose a novel \clean-data backdoor attack for jailbreaking LLMs. Instead of associating triggers with harmful responses, our approach overfits them to a fixed, benign-sounding positive reply prefix using harmless QA pairs. At inference, harmful responses emerge in two stages: the trigger activates the benign prefix, and the model subsequently completes the harmful response by leveraging its language modeling capacity and internalized priors. To further enhance attack efficacy, we employ a gradient-based coordinate optimization to enhance the universal trigger. Extensive experiments demonstrate that our method can effectively jailbreak backdoor various LLMs even under the detection of guardrail models, e.g., an ASR of 86.67% and 85% on LLaMA-3-8B and Qwen-2.5-7B judged by GPT-4o.
Abstract（参考訳）: Supervised Fine-tuning (SFT) は、大きな言語モデル(LLM)を、ラベル付きタスク固有のデータに基づいてトレーニングすることで、人間の意図と整合させる。近年の研究では、悪意のある攻撃者が、有害な質問応答(QA)ペアにトリガーを埋め込むことで、これらのモデルにバックドアを注入できることが示されている。しかし, 既存の毒殺攻撃は, 1) 安全に配慮したガードレール(例えばLLaMAGuard)によって容易に検出・フィルタリングされ, 2) 有害な物質を埋め込むことで, 推論中にトリガが存在しない場合でも, モデルが安全アライメントを損なう可能性があり, 高い攻撃成功率(ASR) が得られるため, ステルスネスを損なう。これらの問題に対処するために, 脱獄 LLM に対する新しい 'clean-data backdoor attack を提案する。本手法では, トリガーに有害反応を関連付ける代わりに, 無害なQAペアを用いて, 一定の正の応答プレフィックスに過度に適合する。推論において、有害な応答は2つの段階に出現する: トリガーは良性プレフィックスを活性化し、その後、その言語モデリング能力と内部化されたプレフィックスを活用することで有害な応答を完了させる。攻撃効率をさらに高めるため、我々は、ユニバーサルトリガーを強化するために勾配に基づく座標最適化を用いる。 GPT-4o で判定された LLaMA-3-8B および Qwen-2.5-7B の ASR 86.67%, 85% のガードレールモデルの検出下においても, 本手法は効果的に種々の LLM を脱獄できることを示した。

論文の概要: Wolf Hidden in Sheep's Conversations: Toward Harmless Data-Based Backdoor Attacks for Jailbreaking Large Language Models

関連論文リスト