Rapid Response: Mitigating LLM Jailbreaks with a Few Examples

随着大型语言模型（LLMs）变得越来越强大，确保其不被滥用变得至关重要。虽然研究人员专注于开发强大的防御措施，但目前还没有任何方法能够实现对攻击的完全免疫。我们提出了一种替代方法：与其追求完美的对抗鲁棒性，不如开发快速响应技术，在观察到少数攻击后就能阻止整个类别的越狱行为。为了研究这一场景，我们开发了RapidResponseBench，这是一个基准测试工具，用于衡量防御措施在适应少量已观察到的示例后，对各种越狱策略的鲁棒性。我们评估了五种快速响应方法，所有这些方法都使用了越狱扩散技术，即自动生成与已观察到的示例相似的额外越狱行为。我们最强的方法是对输入分类器进行微调，以阻止扩散的越狱行为，这种方法在同分布的越狱集上将攻击成功率降低了超过240倍，在异分布的越狱集上则降低了超过15倍，而这些效果仅需观察每种越狱策略的一个示例即可实现。此外，进一步的研究表明，扩散模型的质量和生成的扩散示例数量在这一防御措施的有效性中起着关键作用。总体而言，我们的结果突显了迅速应对新型越狱行为以限制LLM滥用的潜力。

论文试图解决大型语言模型（LLM）在面对各种攻击时的安全性问题，尤其是如何快速响应和阻止新型的越狱攻击。这是一个重要但尚未完全解决的问题。

论文提出了一种新的方法，即通过观察少数几个攻击实例后，迅速生成类似的攻击案例，并使用这些案例来训练或微调模型，以提高对新型攻击的防御能力。这种方法与传统的追求完美对抗鲁棒性的方法不同，更注重快速响应和适应。

论文设计了一个名为RapidResponseBench的基准测试，用于评估不同快速响应方法的有效性。实验结果显示，最有效的方法是在观察到一个攻击样本后，通过微调输入分类器来阻断类似攻击，可以显著降低攻击成功率。此外，研究还发现，生成更多高质量的类似攻击样本对于提高防御效果至关重要。论文提供了详细的实验设计和结果分析，但未提及代码是否开源。

近期在LLM安全领域的一些相关研究包括：1. 'Adversarial Robustness of Deep Learning Models: A Survey'，综述了深度学习模型的对抗鲁棒性；2. 'Detecting and Mitigating Adversarial Attacks on Language Models'，探讨了检测和缓解语言模型中的对抗攻击的方法；3. 'Fine-Tuning for Robustness: A Comprehensive Study'，研究了微调技术在提高模型鲁棒性方面的应用。