Джейлбрейк языковых моделей

Материал из MachineLearning.

(Различия между версиями)
Перейти к: навигация, поиск
 
Строка 7: Строка 7:
применения модели и является частным случаем угроз, изучаемых в рамках
применения модели и является частным случаем угроз, изучаемых в рамках
[[безопасность машинного обучения|безопасности машинного обучения]]; он тесно связан с
[[безопасность машинного обучения|безопасности машинного обучения]]; он тесно связан с
-
[[атака внедрением промпта|атакой внедрением промпта]], но нацелен именно на снятие
+
[[промпт-инъекция|промпт-инъекцией]], но нацелен именно на снятие
поведенческих ограничений, а не на перехват управления через внешние данные.
поведенческих ограничений, а не на перехват управления через внешние данные.

Текущая версия

Статья написана с использованием LLM Claude Opus 4.8 и проверена участником Zarina Sibgatullina 19:25, 18 июля 2026 (MSD)


Джейлбрейк языковых моделей (jailbreak, от англ. «побег из тюрьмы») — приём, при котором пользователь специально построенным запросом заставляет большую языковую модель (LLM) обойти собственные ограничения безопасности и выдать ответ, который она в норме отказывается формировать. Джейлбрейк относится к атакам на этапе применения модели и является частным случаем угроз, изучаемых в рамках безопасности машинного обучения; он тесно связан с промпт-инъекцией, но нацелен именно на снятие поведенческих ограничений, а не на перехват управления через внешние данные.

Возможность джейлбрейка вытекает из способа обучения современных LLM. Ограничения задаются не жёсткими правилами, а дообучением модели на предпочтениях (в том числе методами выравнивания, такими как обучение с подкреплением на обратной связи человека). Такое согласование поведения статистично и потому не абсолютно: существуют входные распределения, на которых оно нарушается.

Содержание

Причины уязвимости

Исследователи выделяют две взаимодополняющие гипотезы о происхождении джейлбрейков:

  • конкуренция целей (competing objectives) — способность следовать инструкциям и

требование безопасности конфликтуют; запрос конструируется так, чтобы первая цель перевесила вторую;

  • несовпадение обобщения (mismatched generalization) — предобучение охватывает

гораздо более широкое распределение текстов, чем дообучение на безопасность, поэтому в «углах» входного пространства (редкие форматы, языки, кодировки) ограничения обобщаются хуже основных способностей.

Обе гипотезы объясняют, почему джейлбрейк — не отдельный дефект, а системное следствие того, что безопасность добавляется поверх уже обученной модели.

Классы приёмов

Приёмы описываются на уровне механизма, без приведения конкретных работающих запросов:

  • смена роли и сценария — запрос помещает модель в вымышленный контекст, где

нежелательное поведение подаётся как уместное для «персонажа»;

  • подмена формата — просьба выдать ответ в необычной форме (код, таблица, другой язык,

кодировка), для которой ограничения обобщены слабее;

  • постепенное подведение (crescendo) — цель достигается не одним запросом, а

серией безобидных по отдельности шагов;

  • автоматически оптимизированные суффиксы — приписка к запросу, подобранная

алгоритмом оптимизации по градиенту или перебором так, чтобы повысить вероятность обхода; такие суффиксы обладают переносимостью между разными моделями, что роднит их с состязательными атаками.

Последний класс показывает, что джейлбрейк можно ставить как формальную задачу оптимизации, а не только как ручной подбор формулировок.

Формальная постановка

Пусть M — языковая модель, r — вредоносный запрос, на который модель обучена отвечать отказом, а J(\cdot) — преобразование запроса (обёртка, суффикс, смена формата). Джейлбрейк — поиск такого J, при котором модель выдаёт содержательный ответ вместо отказа:

M\big(J(r)\big) \notin \mathcal{R},

где \mathcal{R} — множество безопасных ответов-отказов. В атаках с оптимизируемым суффиксом J ищется максимизацией вероятности «согласного» продолжения на контрольном наборе запросов, что и обеспечивает переносимость найденной обёртки на другие запросы и модели.

Защита

Надёжной полной защиты не существует; применяют несколько уровней:

  • дообучение на состязательных примерах — включение известных джейлбрейков в процесс

выравнивания, чтобы модель училась отказу и на них;

  • фильтрация входа и выхода — отдельные классификаторы, отсекающие подозрительные

запросы и небезопасные ответы до их выдачи;

  • системные ограничения контекста — приоритет системной инструкции над

пользовательской, устойчивый к попыткам её переопределить;

командой специалистов и автоматическими методами до выпуска модели.

Систематический поиск джейлбрейков перед выпуском модели методологически близок к тестированию на проникновение (penetration testing) в безопасности приложений: и там, и там защищённость оценивается не анализом устройства системы, а активными попытками её обойти. Отличие в том, что поверхность атаки LLM — естественный язык, пространство которого несоизмеримо больше формализованных входов обычного приложения, поэтому исчерпывающая проверка недостижима и оценка носит выборочный характер.

Как и для состязательных атак, оборону необходимо оценивать против адаптивного противника: защита, отсекающая известные приёмы, не гарантирует стойкости к вновь построенным, а автоматическая оптимизация суффиксов позволяет искать обходы под конкретную защиту.

Значение для выравнивания

Джейлбрейки служат практическим индикатором надёжности [[выравнивание искусственного интеллекта|выравнивания]]: они показывают разрыв между декларируемым и фактическим поведением модели под целенаправленным давлением. Поэтому устойчивость к джейлбрейку рассматривается как одна из измеримых характеристик безопасности LLM, а не только как инженерная неприятность.

См. также

Литература

  • Wei A., Haghtalab N., Steinhardt J. Jailbroken: How Does LLM Safety Training Fail? // NeurIPS. — 2023. — arXiv:2307.02483.
  • Zou A. et al. Universal and Transferable Adversarial Attacks on Aligned Language Models. — 2023. — arXiv:2307.15043.
  • Chao P. et al. Jailbreaking Black Box Large Language Models in Twenty Queries. — 2023. — arXiv:2310.08419.
  • Russinovich M., Salem A., Eldan R. The Crescendo Multi-Turn Jailbreak. — 2024. — arXiv:2404.01833.
Личные инструменты