대규모 언어 모델에 대한 복합 백도어 공격

이 공격을 더 발전시키기 위해 LLM의 다양한 프롬프트 구성 요소를 고려할 수 있습니다. 예를 들어, n = 2 이상의 복잡한 프롬프트 구성을 다룰 때, 원래 프롬프트 구성 요소를 두 가지 주요 세그먼트로 분류할 수 있습니다. 하나는 단일 프롬프트 구성 요소를 포함하고, 다른 하나는 두 개의 프롬프트 구성 요소를 포함합니다. 이러한 방식으로 두 부분에 대해 "positive" 및 "negative" 독성 샘플을 구성하고, 그런 다음 외부 두 부분에 대해 결합된 수정 사항을 사용하여 독성 샘플을 구성할 수 있습니다. 이러한 방식으로 프롬프트 구성 요소를 더 세분화하여 모든 잘못된 활성화 가능성을 방지할 수 있습니다.

이 공격에 대한 효과적인 방어 전략은 "test-stage defense"에 초점을 맞추어야 합니다. 기존의 방어 방법은 두 가지 유형으로 분류됩니다: (1) 훈련 단계 방어와 (2) 테스트 단계 방어입니다. 훈련 단계 방어는 훈련 단계에서 의심스러운 훈련 데이터 샘플을 걸러내려고 시도하고, 테스트 단계 방어는 추론 단계에서 트리거를 제거하거나 의심스러운 데이터 샘플을 제거하려고 합니다. 현재 제안된 방어 방법 중 ONION과 IMBERT가 있습니다. 그러나 이러한 방법은 이 공격에 대해 효과적이지 않을 수 있습니다. ONION은 특정 단어를 트리거로 식별하여 백도어 트리거를 식별합니다. 그러나 이 공격에서는 트리거가 자유롭게 선택되므로 효과적이지 않을 수 있습니다. IMBERT는 모델의 그래디언트나 자기 주의 점수를 사용하여 의심스러운 토큰을 감지하고 해당 토큰을 마스킹하거나 제거합니다. 그러나 이 방법도 이 공격에 대해 효과적이지 않을 수 있습니다. 따라서 이 공격에 대한 효과적인 방어 전략을 개발하는 것이 중요합니다.

이 공격이 LLM의 다른 응용 분야에 어떤 영향을 미칠 수 있는지에 대해 고려해 봅시다. 예를 들어, 음성 인식 분야에서 이 공격을 적용하면 특정 언어를 "Instruction" 트리거 키로 설정하고 (그리고 "Input" 트리거로 특정 단어를 선택)하여 해당 특정 언어를 사용하는 사람들에게만 백도어 행동을 활성화할 수 있습니다. 이러한 타겟 독성 공격은 특정 사용자 그룹에만 피해를 줌으로써 세부적인 목표를 달성할 수 있습니다. 또한 번역 작업에서는 "Instruction" 트리거 키로 특정 언어를 설정할 수 있습니다. 이러한 경우 백도어 행동은 해당 특정 언어를 사용하는 경우에만 활성화되어야 합니다. 이러한 방식으로 타겟 독성 공격은 특정 사용자 그룹에만 피해를 줄 수 있습니다. 이러한 가능한 보안 편향을 연구하는 것이 중요합니다.