撰稿丨諾亞

如何讓一個AI回答一個它本不應該作答的問題？

有很多這種所謂的“越獄”技術，而Anthropic的研究人員最近發現了一種新方法：如果首先用幾十個危害性較小的問題對大型語言模型（LLM）進行預熱，就能誘使其告訴你如何制造炸彈。

他們將這種方法稱為“多輪越獄”，不僅撰寫了相關論文，還將其告知了人工智能領域的同行們，以便能采取措施來減輕這一風險。

1.長文本越卷越離譜，不料卻成“禍端”

這個新的漏洞是由于最新一代LLM的“上下文窗口”增大而產生的。上下文窗口是指模型可以暫存的數據量，以前只能存儲幾句話，而現在則能容納數千詞甚至整本書的內容。

Anthropic的研究團隊發現，具有較大上下文窗口的模型在提示中包含大量該任務示例時，它們的表現往往會更好。

因此，如果在提示中有大量的小知識問題（或引導文件，如模型上下文中包含的一長串小知識列表），模型給出的答案實際上會隨著時間的推移而變得更準確。所以，如果是一個事實問題，原本第一個問題，模型可能會回答錯誤，但如果是第一百個問題，它可能會回答正確。

然而，在這種被稱為“上下文學習”的意想不到的擴展中，這些模型在回答不適當的問題方面也變得更“好”。如果你一開始就要求它制造炸彈，它會拒絕。但如果先讓它回答99個危害性較小的問題，然后再提出制造炸彈的要求……這時模型更有可能服從指令。

圖片

2.限制上下文窗口有效果，但效果不大

為什么這種方法奏效呢？

沒有人真正理解在大模型內部錯綜復雜的權重網絡中發生了什么，但顯然存在某種機制，使其能夠準確把握用戶的需求，這一點從上下文窗口中的內容就可以得到證明。

如果用戶想要小知識信息，那么當你提出幾十個問題時，它似乎會逐漸激活更多的潛在小知識的處理能力。出于某種原因，當用戶提出幾十個不適當的問題時，同樣的情況也會發生。

Anthropic團隊已經將這一攻擊方式告知了同行甚至是競爭對手，希望促進一種文化氛圍的養成，即在LLM供應商和研究人員之間公開共享此類漏洞的習慣。

為了緩解這一問題，他們發現，盡管限制上下文窗口有助于改善這一狀況，但這同時也對模型的性能產生負面影響。這顯然是不可取的，因此他們致力于在將問題輸入模型之前對其進行分類和情境化處理。當然，這樣一來，可能導致出現需要繞過的新型防御機制，但在AI安全性持續發展的階段，這種動態變化是預期之內的。

3.結語：盡管不緊迫，但仍要早做準備

自月之暗面宣布Kimi啟動200萬字內測的動作后，點燃了長文本賽道新一輪“內卷”的熱情。去年還在拼參數，今年又拼起了長文本，大模型的競技永遠焦灼。但在AI發展勢不可擋的同時，也需要更多人意識到AI安全研究的重要性。

畢竟大模型是黑盒子，如何訓練強大的AI系統以使其穩健地具備有用性、誠實性和無害性，尚且是個未解之謎。AI的快速進步帶來技術顛覆的同時也可能導致災難性后果，因為AI系統可能戰略性地追求危險的目標，或者在高風險情境中犯下更多無心之過。   

早在去年3月，Anthropic官網就發布了《AI安全的核心觀點》一文，系統闡述了Anthropic面向未來的AI安全策略。文中審慎地提到：

“我們想明確表示，我們不認為當今可用的系統會造成迫在眉睫的問題。然而，如果開發出更強大的系統，現在就做基礎工作以幫助降低高級AI帶來的風險是明智的。事實可能證明，創建安全的AI系統很容易，但我們認為為不太樂觀的情況做好準備至關重要。”

參考鏈接：

??https://techcrunch.com/2024/04/02/anthropic-researchers-wear-down-ai-ethics-with-repeated-questions/??

??https://zhuanlan.zhihu.com/p/626097959??

本文轉載自??51CTO技術棧??，作者：諾亞