toplogo
サインイン

効果的で隠れた清潔ラベルの攻撃: プロンプトベースの学習における対照からの短絡


核心概念
プロンプトベース学習は、事前学習言語モデルの適応性を高める上で顕著な有効性を示してきたが、このような学習パラダイムは、バックドア攻撃に対して脆弱であることが示されている。現在の清潔ラベル攻撃では、特定のプロンプトをトリガーとして使用することで、外部トリガーを必要とせず、汚染されたサンプルの正しいラベル付けを確保することができるが、一方で、偽の活性化の問題に直面し、より大きな課題を提起している。従来の否定的データ拡張手法では、清潔ラベルの設定において、効果と隠れ性のバランスをとることが困難であることが明らかになった。この問題に取り組むために、我々は、バックドアがショートカットとして機能するという概念に着想を得て、このショートカットはトリガーとデータの対照から生じるものだと考えている。本研究では、活性化値を活用し、トリガーの設計と データ選択戦略を統合したContrastive Shortcut Injection (CSI)と呼ばれる手法を提案する。全量学習と少量学習のテキスト分類タスクで広範な実験を行い、CSIの高い効果と低汚染率での高い隠れ性を実証的に検証する。特に、2つのアプローチが、それぞれ全量学習と少量学習の設定で主導的な役割を果たすことを発見した。
要約
本論文は、プロンプトベース学習における効果的で隠れた清潔ラベルの攻撃手法を提案している。 まず、プロンプトベース学習の概要と、この学習パラダイムがバックドア攻撃に対して脆弱であることを説明している。現在の清潔ラベル攻撃では、特定のプロンプトをトリガーとして使用することで、外部トリガーを必要とせず、汚染されたサンプルの正しいラベル付けを確保できるが、偽の活性化の問題に直面し、より大きな課題を提起している。 従来の否定的データ拡張手法では、効果と隠れ性のバランスをとることが困難であることが明らかになった。そこで本研究では、バックドアがショートカットとして機能するという概念に着想を得て、Contrastive Shortcut Injection (CSI)と呼ばれる手法を提案している。 CSIは、活性化値を活用し、トリガーの設計とデータ選択戦略を統合することで、より強力なショートカット特徴を構築する。全量学習と少量学習のテキスト分類タスクで広範な実験を行い、CSIの高い効果と低汚染率での高い隠れ性を実証的に検証している。特に、2つのアプローチが、それぞれ全量学習と少量学習の設定で主導的な役割を果たすことを発見した。
統計
清潔モデルのベンチマークAccuracy(C-Acc)は91.61%であり、攻撃成功率(ASR)は11.2%である。 汚染モデルのベンチマークAccuracyは91.68%であり、ASRは99.78%である。 提案手法CSIのベンチマークAccuracyは91.51%であり、ASRは100%である。平均偽トリガー率(Avg. FTR)は7.60%である。
引用
"プロンプトベース学習は、事前学習言語モデルの適応性を高める上で顕著な有効性を示してきたが、このような学習パラダイムは、バックドア攻撃に対して脆弱であることが示されている。" "現在の清潔ラベル攻撃では、特定のプロンプトをトリガーとして使用することで、外部トリガーを必要とせず、汚染されたサンプルの正しいラベル付けを確保することができるが、一方で、偽の活性化の問題に直面し、より大きな課題を提起している。" "従来の否定的データ拡張手法では、効果と隠れ性のバランスをとることが困難であることが明らかになった。"

抽出されたキーインサイト

by Xiaopeng Xie... 場所 arxiv.org 04-02-2024

https://arxiv.org/pdf/2404.00461.pdf
Shortcuts Arising from Contrast

深掘り質問

プロンプトベース学習におけるバックドア攻撃の根本原因は何か

プロンプトベース学習におけるバックドア攻撃の根本原因は、トリガーの特徴と毒されるデータサンプルの特徴との対比に由来しています。バックドアはショートカットとして機能し、トリガーと目標ラベルの間に潜在的なつながりを作り出します。このショートカットは、モデルがより単純な特徴を優先的に取得する学習メカニズムによって生じます。バックドア攻撃の成功は、トリガーと目標ラベルの間の強力なつながりに依存しており、トリガー特徴とデータ特徴のコントラストがこのつながりを強化します。

従来の清潔ラベル攻撃手法の限界はどのようなものか

従来の清潔ラベル攻撃手法の限界は、効果と隠匿性の間のトレードオフにあります。これらの手法は、効果を維持することがしばしば隠匿性を損なうことを示しています。具体的には、トリガーの特徴とデータサンプルの特徴との間のつながりが弱まり、低い毒性率で効果的な攻撃を実現することが困難になります。また、これらの手法は、トリガーが目標ラベルに対して十分に強力であることを確保することが難しいという課題に直面しています。

プロンプトベース学習の安全性を高めるためにはどのような方策が考えられるか

プロンプトベース学習の安全性を高めるためには、非ロバストなデータ選択と自動トリガーデザインの両方を活用することが考えられます。非ロバストなデータ選択では、目標ラベルとの関連性が低い特徴を持つデータサンプルを特定し、トリガーと目標ラベルとの強力なつながりを構築するために活用します。一方、自動トリガーデザインでは、モデルの内在的な知識と感度を利用して、モデルを目標ラベルに向かわせるようなトリガーを生成します。これにより、モデルが目標ラベルに予測するように促されることで、軽量な毒性スキームを実現します。これらのアプローチを組み合わせることで、プロンプトベース学習の安全性を向上させることが可能です。
0