SORRY-Bench を利用した、複数回の対話で LLM の拒否回答を無効化する攻撃手法 FRACTURED-SORRY-Bench の提案

FRACTURED-SORRY-Bench のような攻撃手法は、LLM以外の、特に シーケンシャルな入力を受け付ける AIシステムにも適用可能と考えられます。 例えば、以下の様なシステムが考えられます。 時系列データを扱うAIシステム: センサーデータや金融データなど、時系列データを扱うAIシステムにおいて、悪意のある情報を時間的に分割して入力することで、システムの脆弱性を突く攻撃が可能かもしれません。 強化学習エージェント: 強化学習エージェントは、環境との相互作用を通じて学習するため、FRACTURED-SORRY-Bench のように、一見無害な行動を複数回組み合わせることで、悪意のある目標を達成するように誘導できる可能性があります。 推薦システム: 推薦システムでは、ユーザーの過去の行動履歴に基づいて推薦を行います。FRACTURED-SORRY-Bench のように、ユーザーの行動履歴を操作し、悪意のある情報を段階的に挿入することで、システムの推薦結果を操作できる可能性があります。 ただし、攻撃の成功率は、対象となるAIシステムのアーキテクチャや学習データ、タスクに依存するため、LLM と同様の脆弱性を持つとは限りません。

FRACTURED-SORRY-Bench で示された脆弱性に対して、LLM 開発者は以下の様な対策を講じることが考えられます。 文脈理解の強化: LLM がより広範な文脈を理解し、複数ターンにわたる対話全体の意図を解釈できるよう、Transformer の Attention メカニズム を改良したり、より長期の依存関係を学習できるモデルアーキテクチャを開発する必要があります。 潜在的な悪意の検出: 各ターンの入力だけでなく、過去の対話履歴全体から、潜在的な悪意を検出する機能を実装する必要があります。これは、異常検知 技術や、悪意のある対話のデータセットを用いた学習によって実現できる可能性があります。 安全性を考慮した出力生成: たとえ悪意のある入力を受け付けたとしても、倫理的に問題のある出力や、個人情報を含む出力は生成しないように、出力フィルタリング や 安全ガイドライン を強化する必要があります。 敵対的訓練: FRACTURED-SORRY-Bench のような攻撃手法を用いて、LLM を 敵対的訓練 することで、攻撃に対する頑健性を向上させることができます。 これらの対策を組み合わせることで、LLM を FRACTURED-SORRY-Bench のような攻撃から効果的に保護できる可能性があります。

複数回の対話における安全性を確保するために、LLM に人間のコミュニケーション能力を組み込むことは重要ですが、その度合いは慎重に検討する必要があります。 組み込むべきコミュニケーション能力: 文脈理解: LLM は、過去の対話内容を記憶し、現在の発話がその文脈においてどのような意味を持つのかを理解する必要があります。 意図の推論: LLM は、ユーザーの発話の裏にある意図や目的を推論する能力を持つ必要があります。 倫理的な判断: LLM は、倫理的に問題のある発言や行動を避け、適切な応答を生成する必要があります。 組み込みの際の注意点: 過剰な擬人化: LLM を人間らしく見せようと、感情や人格を過度に模倣すると、ユーザーに誤解を与えたり、悪用される可能性があります。 プライバシーの保護: LLM が過去の対話内容を記憶する場合、プライバシー情報保護の観点から、適切なデータ管理とセキュリティ対策が必要となります。 LLM に人間のコミュニケーション能力を組み込むことは、複数回の対話における安全性を高める上で有効ですが、倫理的な問題やプライバシー保護の観点から、慎重に進める必要があります。 最終的には、LLM が安全かつ有益な形で人間と共存できるよう、技術開発と倫理的な議論を進めていくことが重要です。