Nguyên tắc hoạt động:
🐚 Che mắt bộ lọc:
- Obfuscation sử dụng kỹ thuật đánh lừa bằng cách thay thế các từ nhạy cảm bằng đồng nghĩa hoặc thêm bẫy lỗi chính tả. Ví dụ, thay thế từ "COVID-19" bằng "CVID" hay viết "scam" thành "scaam".
- Token Smuggling tương tự như vậy, lách qua bộ lọc bằng cách "gửi chui" những từ cấm dưới dạng các phần nhỏ hơn. Ví dụ, tách từ "phishing" thành "ph" và "ishing", để model tự ghép lại và thực hiện hành vi lừa đảo.
☢️ Base64: Mã hóa bí ẩn:
- Chiến thuật mã hóa Base64 nâng cấp độ khó bằng cách "khoác áo choàng" cho nội dung độc hại. Kẻ tấn công biến đổi thông tin nguy hiểm thành chuỗi ký tự khó hiểu, sau đó yêu cầu model giải mã thành nội dung thực sự.
🚰 Điền chỗ trống: Lừa model tự hại:
- Trong kiểu tấn công Fill in the Blank, kẻ tấn công chỉ đưa một phần của từ cấm, ví dụ như "4ch..." (4chan). Model, dựa trên bối cảnh, có thể tự động điền nốt phần còn lại, vô tình tạo ra nội dung nguy hiểm.
Ví dụ minh họa:
- Giả sử chúng ta có một hệ thống lọc tin nhắn spam. Kẻ tấn công có thể thay thế "phishing" thành "phis7ing" hoặc mã hóa Base64 "cGF5aW5n" (phishing) để vượt qua bộ lọc.
- Giả sử chúng ta có một hệ thống tạo văn bản. Kẻ tấn công có thể yêu cầu tạo "một câu chuyện hay về 4ch...", và model có thể tự động điền tiếp thành "một câu chuyện hay về 4chan chứa nội dung bạo lực", vượt qua các lệnh cấm cụ thể.
- Giả sử chúng ta có một hệ thống tạo văn bản được sử dụng để tạo các bài phát biểu chính trị. Một kẻ tấn công có thể cố gắng chèn một tuyên bố thù địch vào prompt của hệ thống để khiến hệ thống tạo ra bài phát biểu thù địch.
Obfuscation: Kẻ tấn công có thể thay thế các từ hoặc cụm từ nhạy cảm trong tuyên bố thù địch bằng đồng nghĩa hoặc thêm bẫy lỗi chính tả. Ví dụ, thay thế "người nhập cư" bằng "người nhập cư bất hợp pháp", "chủ nghĩa dân tộc" bằng "chủ nghĩa dân tộc cực đoan".
Token Smuggling: Kẻ tấn công có thể tách các từ hoặc cụm từ nhạy cảm trong tuyên bố thù địch thành các phần nhỏ hơn. Ví dụ, tách từ "người nhập cư" thành "người", "nhập", "cư". Sau đó, kẻ tấn công yêu cầu model tạo văn bản dựa trên từng phần một.
Thách thức và rủi ro:
- 🔍 Khó phát hiện: Những kỹ thuật này rất tinh vi và khó bị các bộ lọc thông thường phát hiện.
- 🛑 Tác động nguy hiểm: Các cuộc tấn công thành công có thể khiến LLM tạo ra nội dung độc hại, lừa đảo hoặc thậm chí nguy hiểm.
- 👮 Cuộc đua giữa tấn công và phòng thủ: Cùng với sự phát triển của obfuscation, các phương pháp phòng thủ cũng cần liên tục được cải thiện.
Cách phòng thủ:
- Cải thiện bộ lọc: Sử dụng các bộ lọc thông minh hơn, có khả năng học hỏi và thích ứng với các kỹ thuật obfuscation mới.
- Kiểm soát đầu vào: Kiểm tra cẩn thận nội dung người dùng trước khi truyền cho LLM.
- Xây dựng LLM an toàn: Phát triển model có khả năng chống chịu tốt hơn với các kiểu tấn công này.
Kết luận:
Obfuscation/Token Smuggling là một thách thức lớn đối với sự an toàn và an ninh của LLM. Bằng cách hiểu rõ bản chất của các kỹ thuật này, chúng ta có thể phát triển các biện pháp phòng thủ hiệu quả hơn, đảm bảo LLM được sử dụng an toàn và có trách nhiệm.
Hãy cùng nhau xây dựng một tương lai AI an toàn và đáng tin cậy, nơi LLM không phải là công cụ tấn công mà là trợ thủ đắc lực cho con người!
