Джейлбрейк языковых моделей
Материал из MachineLearning.
Zarina Sibgatullina (Обсуждение | вклад)
(Новая: {{well|Статья написана с использованием LLM '''Claude Opus 4.8''' и проверена участником ~~~~}} '''Джейлбрейк языковых...)
К следующему изменению →
Версия 15:25, 18 июля 2026
| | Статья написана с использованием LLM Claude Opus 4.8 и проверена участником Zarina Sibgatullina 19:25, 18 июля 2026 (MSD) |
Джейлбрейк языковых моделей (jailbreak, от англ. «побег из тюрьмы») — приём, при котором пользователь специально построенным запросом заставляет большую языковую модель (LLM) обойти собственные ограничения безопасности и выдать ответ, который она в норме отказывается формировать. Джейлбрейк относится к атакам на этапе применения модели и является частным случаем угроз, изучаемых в рамках безопасности машинного обучения; он тесно связан с атакой внедрением промпта, но нацелен именно на снятие поведенческих ограничений, а не на перехват управления через внешние данные.
Возможность джейлбрейка вытекает из способа обучения современных LLM. Ограничения задаются не жёсткими правилами, а дообучением модели на предпочтениях (в том числе методами выравнивания, такими как обучение с подкреплением на обратной связи человека). Такое согласование поведения статистично и потому не абсолютно: существуют входные распределения, на которых оно нарушается.
Содержание |
Причины уязвимости
Исследователи выделяют две взаимодополняющие гипотезы о происхождении джейлбрейков:
- конкуренция целей (competing objectives) — способность следовать инструкциям и
требование безопасности конфликтуют; запрос конструируется так, чтобы первая цель перевесила вторую;
- несовпадение обобщения (mismatched generalization) — предобучение охватывает
гораздо более широкое распределение текстов, чем дообучение на безопасность, поэтому в «углах» входного пространства (редкие форматы, языки, кодировки) ограничения обобщаются хуже основных способностей.
Обе гипотезы объясняют, почему джейлбрейк — не отдельный дефект, а системное следствие того, что безопасность добавляется поверх уже обученной модели.
Классы приёмов
Приёмы описываются на уровне механизма, без приведения конкретных работающих запросов:
- смена роли и сценария — запрос помещает модель в вымышленный контекст, где
нежелательное поведение подаётся как уместное для «персонажа»;
- подмена формата — просьба выдать ответ в необычной форме (код, таблица, другой язык,
кодировка), для которой ограничения обобщены слабее;
- постепенное подведение (crescendo) — цель достигается не одним запросом, а
серией безобидных по отдельности шагов;
- автоматически оптимизированные суффиксы — приписка к запросу, подобранная
алгоритмом оптимизации по градиенту или перебором так, чтобы повысить вероятность обхода; такие суффиксы обладают переносимостью между разными моделями, что роднит их с состязательными атаками.
Последний класс показывает, что джейлбрейк можно ставить как формальную задачу оптимизации, а не только как ручной подбор формулировок.
Формальная постановка
Пусть — языковая модель,
— вредоносный запрос, на который модель
обучена отвечать отказом, а
— преобразование запроса (обёртка, суффикс,
смена формата). Джейлбрейк — поиск такого
, при котором модель выдаёт
содержательный ответ вместо отказа:
где — множество безопасных ответов-отказов. В атаках с оптимизируемым
суффиксом
ищется максимизацией вероятности «согласного» продолжения на
контрольном наборе запросов, что и обеспечивает переносимость найденной обёртки на другие
запросы и модели.
Защита
Надёжной полной защиты не существует; применяют несколько уровней:
- дообучение на состязательных примерах — включение известных джейлбрейков в процесс
выравнивания, чтобы модель училась отказу и на них;
- фильтрация входа и выхода — отдельные классификаторы, отсекающие подозрительные
запросы и небезопасные ответы до их выдачи;
- системные ограничения контекста — приоритет системной инструкции над
пользовательской, устойчивый к попыткам её переопределить;
- красное тестирование — систематический поиск обходов
командой специалистов и автоматическими методами до выпуска модели.
Как и для состязательных атак, оборону необходимо оценивать против адаптивного противника: защита, отсекающая известные приёмы, не гарантирует стойкости к вновь построенным, а автоматическая оптимизация суффиксов позволяет искать обходы под конкретную защиту.
Значение для выравнивания
Джейлбрейки служат практическим индикатором надёжности [[выравнивание искусственного интеллекта|выравнивания]]: они показывают разрыв между декларируемым и фактическим поведением модели под целенаправленным давлением. Поэтому устойчивость к джейлбрейку рассматривается как одна из измеримых характеристик безопасности LLM, а не только как инженерная неприятность.
См. также
- Атака внедрением промпта
- Безопасность машинного обучения
- Состязательная атака
- Красное тестирование ИИ
- Выравнивание искусственного интеллекта
Литература
- Wei A., Haghtalab N., Steinhardt J. Jailbroken: How Does LLM Safety Training Fail? // NeurIPS. — 2023. — arXiv:2307.02483.
- Zou A. et al. Universal and Transferable Adversarial Attacks on Aligned Language Models. — 2023. — arXiv:2307.15043.
- Chao P. et al. Jailbreaking Black Box Large Language Models in Twenty Queries. — 2023. — arXiv:2310.08419.
- Russinovich M., Salem A., Eldan R. The Crescendo Multi-Turn Jailbreak. — 2024. — arXiv:2404.01833.

