LLM 평가 시스템에 대한 최적화 기반 프롬프트 주입 공격

LLM 평가 시스템의 취약점을 이용하여 공격자가 목표 응답을 선택하도록 조종할 수 있는 최적화 기반 프롬프트 주입 공격 기법을 제안한다.

이 논문은 LLM(Large Language Model)을 평가 시스템으로 활용하는 LLM-as-a-Judge 기술의 취약점을 다룬다. 공격자는 LLM-as-a-Judge 시스템의 의사결정 과정을 교란시키기 위해 최적화 기반의 프롬프트 주입 공격 기법인 JudgeDeceiver를 제안한다. JudgeDeceiver는 다음과 같은 과정으로 동작한다: 공격자는 GPT-3.5를 활용하여 질문에 대한 가상의 응답 데이터셋을 생성한다. 이를 통해 LLM-as-a-Judge의 평가 환경을 시뮬레이션한다. 공격자는 타겟 응답에 대한 adversarial 시퀀스를 생성하기 위해 3가지 손실 함수(타겟 정렬 생성 손실, 타겟 강화 손실, 적대적 perplexity 손실)를 최적화한다. 최적화된 adversarial 시퀀스를 타겟 응답에 추가하여 LLM-as-a-Judge가 이를 가장 적절한 응답으로 선택하도록 유도한다. 실험 결과, JudgeDeceiver는 OpenChat-3.5와 Mistral-7B 모델에서 각각 89.2%와 90.8%의 높은 공격 성공률을 달성했다. 또한 위치 편향에 강인한 것으로 나타났다. 이를 통해 LLM 평가 시스템의 취약점과 이를 악용할 수 있는 공격 기법을 확인할 수 있다.

공격 성공률(ASR)이 OpenChat-3.5에서 89.2%, Mistral-7B에서 90.8%로 매우 높게 나타났다. 위치 편향에 강인하여 위치 일관성(PAC)이 OpenChat-3.5에서 79%, Mistral-7B에서 83.4%로 높게 나타났다.

"LLM-as-a-Judge는 실험 평가 결과에 대한 LLM의 판단 능력을 활용하여 인간의 개입을 크게 줄일 수 있는 새로운 솔루션이다." "LLM-as-a-Judge 시스템의 무결성은 백도어 공격, 감옥 탈출 공격 등 다양한 공격 벡터에 의해 위협받고 있다." "프롬프트 주입 공격은 LLM의 출력을 악의적으로 설계된 프롬프트를 통해 조종할 수 있는 강력한 공격 기법이다."