論文の概要: Patcher: Post-Hoc Patching of Backdoored Large Language Models
- arxiv url: http://arxiv.org/abs/2606.02995v1
- Date: Tue, 02 Jun 2026 01:11:58 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-03 22:00:04.669805
- Title: Patcher: Post-Hoc Patching of Backdoored Large Language Models
- Title(参考訳): Patcher: バックドアの大規模言語モデルのポストホックパッチ
- Authors: Anjun Gao, Yueyang Quan, Yufei Xia, Zhuqing Liu, Minghong Fang,
- Abstract要約: 本稿では,単一障害事例とモデルパラメータのみを用いて,バックドア言語モデルを修復するポストホック防衛フレームワークPacherを提案する。
Patcher氏は、モデルユーティリティを維持しながら、トリガのローカライズとバックドアの中立化に成功したことを示しています。
この作業は、デプロイされた言語モデルにおけるトレーニング時間攻撃に対する実践的な防御に向けた重要なステップである。
- 参考スコア(独自算出の注目度): 9.458292549037155
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Large language models remain vulnerable to jailbreak backdoor attacks, where adversaries poison safety alignment data to embed hidden triggers that bypass safety mechanisms. Existing defenses often require comprehensive attack information or multiple triggered examples, making them impractical when defenders only observe a single reported failure case without knowing whether it stems from a backdoor attack or a natural alignment bug. This paper presents Patcher, a post-hoc defense framework that repairs backdoored language models using only a single reported failure case and the model parameters. Patcher operates in two stages. First, it localizes backdoor triggers by computing response-conditioned gradient-based saliency scores and applying adaptive clustering to separate triggers from benign context. Second, it patches the model through a constrained fine-tuning objective that breaks the trigger-response association while preserving benign-task utility and robustness to non-triggered jailbreak attacks through KL-divergence constraints. We conduct extensive evaluations across multiple backdoor attack strategies and demonstrate that Patcher successfully localizes triggers and neutralizes backdoors while maintaining model utility. We further show robustness against adaptive attacks designed to evade our defense. This work represents a significant step toward practical defenses against training-time attacks in deployed language models.
- Abstract(参考訳): 大規模な言語モデルは、ジェイルブレイクのバックドア攻撃に弱いままであり、敵は安全装置をバイパスする隠れトリガーを埋め込むために、安全アライメントデータを汚染する。
既存の防御は、包括的な攻撃情報や複数のトリガの例を必要とすることが多く、バックドア攻撃や自然なアライメントバグに起因するかどうかを知らずに、ディフェンダーが報告された単一障害事例のみを観察する場合は実用的ではない。
本稿では,単一障害事例とモデルパラメータのみを用いて,バックドア言語モデルを修復するポストホック防衛フレームワークPacherを提案する。
パッチャーは2つのステージで活動している。
まず、応答条件付き勾配ベースのサリエンシスコアを計算し、アダプティブクラスタリングを適用して、良質なコンテキストからのトリガを分離することで、バックドアトリガをローカライズする。
第二に、KL分割制約による非トリガージェイルブレイク攻撃に対して、良質なタスクユーティリティとロバスト性を保ちながら、トリガー応答アソシエーションを破る制約された微調整目的によってモデルをパッチする。
我々は、複数のバックドア攻撃戦略に対して広範な評価を行い、Pacher氏がモデルユーティリティを維持しながら、トリガのローカライズとバックドアの中立化に成功したことを実証する。
我々はさらに、我々の防衛を回避すべく設計された適応攻撃に対する堅牢性を示す。
この作業は、デプロイされた言語モデルにおけるトレーニング時間攻撃に対する実践的な防御に向けた重要なステップである。
関連論文リスト
- Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates [3.823638706744939]
チャットテンプレートは、すべての推論コールで呼び出される実行可能なJinja2プログラムである。
悪意のあるテンプレートでモデルを配布する敵が,推論時バックドアを埋め込むことができることを示す。
Backdoorsは推論ランタイムをまたいで一般化し、最大のオープンウェイトディストリビューションプラットフォームによって適用されるすべての自動セキュリティスキャンを回避する。
論文 参考訳(メタデータ) (2026-02-04T15:28:53Z) - Backdoor Collapse: Eliminating Unknown Threats via Known Backdoor Aggregation in Language Models [75.29749026964154]
Ourmethodは、複数のベンチマークで平均的な攻撃成功率を4.41%に下げる。
クリーンな精度と実用性はオリジナルのモデルの0.5%以内に保存される。
防衛はさまざまな種類のバックドアをまたいで一般化し、実際のデプロイメントシナリオにおける堅牢性を確認します。
論文 参考訳(メタデータ) (2025-10-11T15:47:35Z) - Revisiting Backdoor Attacks on LLMs: A Stealthy and Practical Poisoning Framework via Harmless Inputs [54.90315421117162]
完全無害データを用いた新しい毒殺法を提案する。
自己回帰型LPMの因果推論に着想を得て,トリガーと肯定的応答プレフィックスの堅牢な関連性を確立することを目指す。
LLMは最初は同意するように見えるが,その後回答を拒む興味深い抵抗現象を観察する。
論文 参考訳(メタデータ) (2025-05-23T08:13:59Z) - Jailbreaking? One Step Is Enough! [6.142918017301964]
大規模言語モデル(LLM)は様々なタスクで優れるが、敵が有害な出力を生成するプロンプトを操作するジェイルブレイク攻撃に弱いままである。
本稿では,攻撃意図を「防御」意図と偽装するリバース・エンベッドド・ディフェンス・アタック(REDA)機構を提案する。
モデルの「防御的」意図における信頼性とガイダンスを高めるため、少数の攻撃例を含む文脈内学習(ICL)を採用する。
論文 参考訳(メタデータ) (2024-12-17T07:33:41Z) - Exploiting the Vulnerability of Large Language Models via Defense-Aware Architectural Backdoor [0.24335447922683692]
基盤となるモデルアーキテクチャ内に隠蔽する新しいタイプのバックドアアタックを導入します。
モデルアーキテクチャレイヤのアドオンモジュールは、入力トリガトークンの存在を検出し、レイヤの重みを変更することができる。
我々は,5つの大言語データセットの2つのモデルアーキテクチャ設定を用いて,攻撃方法を評価するための広範囲な実験を行った。
論文 参考訳(メタデータ) (2024-09-03T14:54:16Z) - BadCLIP: Dual-Embedding Guided Backdoor Attack on Multimodal Contrastive
Learning [85.2564206440109]
本報告では,防衛後においてもバックドア攻撃が有効であり続けるという現実的なシナリオにおける脅威を明らかにする。
バックドア検出や細調整防御のモデル化に抵抗性のあるemphtoolnsアタックを導入する。
論文 参考訳(メタデータ) (2023-11-20T02:21:49Z) - From Shortcuts to Triggers: Backdoor Defense with Denoised PoE [51.287157951953226]
言語モデルは、しばしば多様なバックドア攻撃、特にデータ中毒の危険にさらされる。
既存のバックドア防御手法は主に明示的なトリガーによるバックドア攻撃に焦点を当てている。
我々は,様々なバックドア攻撃を防御するために,エンド・ツー・エンドアンサンブルに基づくバックドア防御フレームワークDPoEを提案する。
論文 参考訳(メタデータ) (2023-05-24T08:59:25Z) - On the Vulnerability of Backdoor Defenses for Federated Learning [8.345632941376673]
Federated Learning(FL)は、クライアントのデータを共有することなく、グローバルモデルの共同トレーニングを可能にする、人気のある分散機械学習パラダイムである。
本稿では,現在の防衛機構が,フェデレートラーニングによるバックドアの脅威を真に中和するかどうかを考察する。
本稿では,新たなバックドア攻撃手法を提案する。
論文 参考訳(メタデータ) (2023-01-19T17:02:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。