Xinzhe Huang, Wenjing Hu, Tianhang Zheng, Kedong Xiu, Xiaojun Jia, Di Wang, Zhan Qin, Kui Ren
개요
본 논문은 기존의 타겟팅된(targeted) 탈옥 공격의 한계를 극복하기 위해, 사전 정의된 패턴에 얽매이지 않고 안전하지 않은 응답을 유도하는 최초의 gradient-based untargeted jailbreak attack (UJA)를 제안합니다. UJA는 LLM 응답의 안전하지 않은 정도를 최대화하는 untargeted attack objective를 사용하며, 이를 위해 두 개의 미분 가능한 하위 목표로 분해하여 최적의 유해 응답과 대응하는 adversarial prompt를 최적화합니다. UJA는 광범위한 검색 공간을 통해 기존 공격보다 더 유연하고 효율적으로 LLM의 취약점을 탐색하며, 100번의 최적화 반복만으로 최신 안전 정렬 LLM에 대해 80% 이상의 공격 성공률을 달성합니다.
시사점, 한계점
•
시사점:
◦
기존의 타겟팅된 공격의 제약을 극복하고, 안전하지 않은 응답을 유도하는 새로운 공격 방식을 제시하여 LLM의 취약점을 효과적으로 공략함.
◦
Untargeted objective를 통해 검색 공간을 확장하여, 더 높은 공격 성공률과 효율성을 달성함.
