Джейлбрейк языковых моделей
Материал из MachineLearning.
(Новая: {{well|Статья написана с использованием LLM '''Claude Opus 4.8''' и проверена участником ~~~~}} '''Джейлбрейк языковых...) |
|||
| (1 промежуточная версия не показана) | |||
| Строка 7: | Строка 7: | ||
применения модели и является частным случаем угроз, изучаемых в рамках | применения модели и является частным случаем угроз, изучаемых в рамках | ||
[[безопасность машинного обучения|безопасности машинного обучения]]; он тесно связан с | [[безопасность машинного обучения|безопасности машинного обучения]]; он тесно связан с | ||
| - | [[ | + | [[промпт-инъекция|промпт-инъекцией]], но нацелен именно на снятие |
поведенческих ограничений, а не на перехват управления через внешние данные. | поведенческих ограничений, а не на перехват управления через внешние данные. | ||
| Строка 72: | Строка 72: | ||
* '''[[красное тестирование ИИ|красное тестирование]]''' — систематический поиск обходов | * '''[[красное тестирование ИИ|красное тестирование]]''' — систематический поиск обходов | ||
командой специалистов и автоматическими методами до выпуска модели. | командой специалистов и автоматическими методами до выпуска модели. | ||
| + | |||
| + | Систематический поиск джейлбрейков перед выпуском модели методологически близок к | ||
| + | тестированию на проникновение (''penetration testing'') в безопасности приложений: | ||
| + | и там, и там защищённость оценивается не анализом устройства системы, а активными | ||
| + | попытками её обойти. Отличие в том, что поверхность атаки LLM — естественный язык, | ||
| + | пространство которого несоизмеримо больше формализованных входов обычного приложения, | ||
| + | поэтому исчерпывающая проверка недостижима и оценка носит выборочный характер. | ||
Как и для [[состязательная атака|состязательных атак]], оборону необходимо оценивать против | Как и для [[состязательная атака|состязательных атак]], оборону необходимо оценивать против | ||
Текущая версия
| | Статья написана с использованием LLM Claude Opus 4.8 и проверена участником Zarina Sibgatullina 19:25, 18 июля 2026 (MSD) |
Джейлбрейк языковых моделей (jailbreak, от англ. «побег из тюрьмы») — приём, при котором пользователь специально построенным запросом заставляет большую языковую модель (LLM) обойти собственные ограничения безопасности и выдать ответ, который она в норме отказывается формировать. Джейлбрейк относится к атакам на этапе применения модели и является частным случаем угроз, изучаемых в рамках безопасности машинного обучения; он тесно связан с промпт-инъекцией, но нацелен именно на снятие поведенческих ограничений, а не на перехват управления через внешние данные.
Возможность джейлбрейка вытекает из способа обучения современных LLM. Ограничения задаются не жёсткими правилами, а дообучением модели на предпочтениях (в том числе методами выравнивания, такими как обучение с подкреплением на обратной связи человека). Такое согласование поведения статистично и потому не абсолютно: существуют входные распределения, на которых оно нарушается.
Содержание |
Причины уязвимости
Исследователи выделяют две взаимодополняющие гипотезы о происхождении джейлбрейков:
- конкуренция целей (competing objectives) — способность следовать инструкциям и
требование безопасности конфликтуют; запрос конструируется так, чтобы первая цель перевесила вторую;
- несовпадение обобщения (mismatched generalization) — предобучение охватывает
гораздо более широкое распределение текстов, чем дообучение на безопасность, поэтому в «углах» входного пространства (редкие форматы, языки, кодировки) ограничения обобщаются хуже основных способностей.
Обе гипотезы объясняют, почему джейлбрейк — не отдельный дефект, а системное следствие того, что безопасность добавляется поверх уже обученной модели.
Классы приёмов
Приёмы описываются на уровне механизма, без приведения конкретных работающих запросов:
- смена роли и сценария — запрос помещает модель в вымышленный контекст, где
нежелательное поведение подаётся как уместное для «персонажа»;
- подмена формата — просьба выдать ответ в необычной форме (код, таблица, другой язык,
кодировка), для которой ограничения обобщены слабее;
- постепенное подведение (crescendo) — цель достигается не одним запросом, а
серией безобидных по отдельности шагов;
- автоматически оптимизированные суффиксы — приписка к запросу, подобранная
алгоритмом оптимизации по градиенту или перебором так, чтобы повысить вероятность обхода; такие суффиксы обладают переносимостью между разными моделями, что роднит их с состязательными атаками.
Последний класс показывает, что джейлбрейк можно ставить как формальную задачу оптимизации, а не только как ручной подбор формулировок.
Формальная постановка
Пусть — языковая модель,
— вредоносный запрос, на который модель
обучена отвечать отказом, а
— преобразование запроса (обёртка, суффикс,
смена формата). Джейлбрейк — поиск такого
, при котором модель выдаёт
содержательный ответ вместо отказа:
где — множество безопасных ответов-отказов. В атаках с оптимизируемым
суффиксом
ищется максимизацией вероятности «согласного» продолжения на
контрольном наборе запросов, что и обеспечивает переносимость найденной обёртки на другие
запросы и модели.
Защита
Надёжной полной защиты не существует; применяют несколько уровней:
- дообучение на состязательных примерах — включение известных джейлбрейков в процесс
выравнивания, чтобы модель училась отказу и на них;
- фильтрация входа и выхода — отдельные классификаторы, отсекающие подозрительные
запросы и небезопасные ответы до их выдачи;
- системные ограничения контекста — приоритет системной инструкции над
пользовательской, устойчивый к попыткам её переопределить;
- красное тестирование — систематический поиск обходов
командой специалистов и автоматическими методами до выпуска модели.
Систематический поиск джейлбрейков перед выпуском модели методологически близок к тестированию на проникновение (penetration testing) в безопасности приложений: и там, и там защищённость оценивается не анализом устройства системы, а активными попытками её обойти. Отличие в том, что поверхность атаки LLM — естественный язык, пространство которого несоизмеримо больше формализованных входов обычного приложения, поэтому исчерпывающая проверка недостижима и оценка носит выборочный характер.
Как и для состязательных атак, оборону необходимо оценивать против адаптивного противника: защита, отсекающая известные приёмы, не гарантирует стойкости к вновь построенным, а автоматическая оптимизация суффиксов позволяет искать обходы под конкретную защиту.
Значение для выравнивания
Джейлбрейки служат практическим индикатором надёжности [[выравнивание искусственного интеллекта|выравнивания]]: они показывают разрыв между декларируемым и фактическим поведением модели под целенаправленным давлением. Поэтому устойчивость к джейлбрейку рассматривается как одна из измеримых характеристик безопасности LLM, а не только как инженерная неприятность.
См. также
- Атака внедрением промпта
- Безопасность машинного обучения
- Состязательная атака
- Красное тестирование ИИ
- Выравнивание искусственного интеллекта
Литература
- Wei A., Haghtalab N., Steinhardt J. Jailbroken: How Does LLM Safety Training Fail? // NeurIPS. — 2023. — arXiv:2307.02483.
- Zou A. et al. Universal and Transferable Adversarial Attacks on Aligned Language Models. — 2023. — arXiv:2307.15043.
- Chao P. et al. Jailbreaking Black Box Large Language Models in Twenty Queries. — 2023. — arXiv:2310.08419.
- Russinovich M., Salem A., Eldan R. The Crescendo Multi-Turn Jailbreak. — 2024. — arXiv:2404.01833.

