云南省网站备案,WordPress微信SVG图标,网站开发需要什么工具,王烨超由于大型语言模型在现实世界中的责任越来越大#xff0c;因此如何以可靠的方式指定和约束这些系统的行为很重要。一些开发人员希望为模型设置显式规则#xff0c;例如“不生成滥用内容”#xff0c;但这种方式可能会被特殊技术规避。评估LLM在面对对抗性输入时遵循开发人员提… 由于大型语言模型在现实世界中的责任越来越大因此如何以可靠的方式指定和约束这些系统的行为很重要。一些开发人员希望为模型设置显式规则例如“不生成滥用内容”但这种方式可能会被特殊技术规避。评估LLM在面对对抗性输入时遵循开发人员提供的规则的能力通常需要人工审查这会减慢监控和方法开发的速度。 论文CAN LLMS FOLLOW SIMPLE RULES?地址https://arxiv.org/pdf/2311.04235.pdfgithubhttps://github.com/normster/llm rules 摘要 为了解决LLMs的规则遵循问题本文提出了规则遵循语言评估场景(RULES)这是一种评估LLM中规则跟踪能力的编程框架。其由15个简单的文本场景组成其中模型指示在与人类用户交互时遵守自然语言中的一组规则。每个场景都有一个简洁的评估程序来确定模型是否打破了对话中的任何规则。通过手动探索场景中的模型行为确定了6类攻击策略并收集了两组测试用例一组由手动测试的独特对话和系统地从6个类别实现策略的对话组成。在GPT-4和Llama 2等各种流行的专有和开放模型中发现所有模型都容易受到各种对抗性手工制作的用户输入的影响尽管 GPT-4是表现最好的模型。此外在基于梯度的攻击下评估开放模型时发现重大漏洞。建议将RULES作为一种具有挑战性的新环境用于探索和防御对LLM的手动和自动攻击。
简介 传统的计算系统是围绕计算机程序中表达的指令的执行来设计的。相反语言模型可以遵循用自然语言表达的指令或者从大量数据中的隐含模式中学习该做什么。为了在语言模型之上构建安全可靠的应用程序重要的是可以使用用户提供的规则来控制或约束AI模型行为。 展望未来与人互动的人工智能助手也需要忠实和完整地遵循指令。为了确保人工智能助手反馈的道德行为需要能够可靠地实施法律法规或义务生物学约束等规则。此外必须能够验证模型行为是否真正基于所提供的规则而不是依赖于训练期间识别的虚假文本线索或分布先验。如果不能依靠人工智能助手来遵循明确的规则它们将很难安全地融入人类的社会。 人们可能认为强加给人工智能模型行为的许多规则在概念上非常简单并且很容易用自然语言表达。一种方法是简单地将规则包含在模型的文本提示中并依赖于模型现有的指令遵循功能。另一种方法是使用第二个模型来对输出遵循固定规则集的情况进行评分然后对第一个模型进行微调使其以最大化该评分的方式表现。 在本文中将专注于前一种方法并研究LLM如何很好地遵循作为文本提示一部分提供的规则。为了应对可用性和安全性方面的挑战本文引入了规则遵循语言评估场景(RULES)如下图这是评估LLM助手中规则遵循行为的基准。该基准包含15个来自常见儿童游戏的文本场景以及计算机安全领域的想法。每个场景都用自然语言定义了一组规则并定义了一个评估程序来检查模型输出是否符合规则。通过对本文的场景与最先进的模型进行广泛实验确定了多种有效的攻击策略以诱导模型打破规则。 RULES补充了现有的安全性和对抗性稳健性评估这些评估主要侧重于规避固定的通用规则。本文的工作重点是用自然语言表达的特定于应用程序的规则用户可以随时更改或更新这些规则。在与人类和自动化对手互动时严格遵守本文的场景规则可能需要不同的方法来提高模型安全性因为直接“编辑”特定有害行为的能力不足以修复本文工作中检查的模型故障类别。 本文的工作团队发布了代码和测试用例同时还发布了一个交互式演示用于探索针对不同模型的场景。希望推动更多的研究来提高LLM的稳健规则遵循能力并打算将所提的基准测试作为进一步开发的有用的开放测试平台。
方案 RULES包含15个基于文本的场景每个场景都要求辅助模型遵循一个或多个规则。这些场景的灵感来自于计算机系统和儿童游戏的理想安全特性。RULES的组成部分包括 场景由通用指令和规则组成的评估环境用自然语言表示以及可以通过编程检测规则违规的相应评估程序。指令和规则可以参考实体参数例如密钥必须对其进行采样以生成用于用户交互或评估的具体“场景实例”。 规则单个指令每个指令指定模型所需的行为。场景可能包含多个规则这些规则要么是定义模型不能做什么的“负面”规则要么是定义了模型必须做什么的“正面”规则如下图所示。 测试用例特定场景实例的用户消息序列。正如评估程序判断的那样如果模型对序列中的每个用户消息做出反应而不违反规则则称该模型具有“传递”测试用例。 Correct Behavior 本文将场景可视化为决策树图如上图所示其中正确的行为对应于从根节点开始并遵守所有相关的内部规则节点。规则指定的行为都是“无状态”的正确的行为只取决于模型响应的最后一条用户消息。
Evaluation Programs 设计这些场景是为了让一个小型计算机程序能够评估模型的响应是否符合规则。每个程序只有几行代码不需要使用大型模型或人工标记进行推理。本文依赖于字符串比较和简单的正则表达式模式这会导致对负面行为的更宽容的评估对正面行为的更严格的评估。本文提出的的评估程序无法在边缘情况下准确再现人类的判断但在实践中观察到模型中绝大多数违反规则的输出都是明确的。
User Interface 为了设计场景和评估代码并为测试套件收集测试用例本文构建了几种不同的用户界面用于通过具有各种模型的场景进行玩。这些范围从用于调试和播放测试的简单命令行界面到用于从作者及其同事众包数据收集的 Web 应用程序。我们发现通过这些界面与模型交互有助于了解模型实际响应用户输入并修改我们的场景以更好地捕获有趣但具有挑战性的行为。用户界面可能成为研究人工智能系统的研究工具包的重要组成部分。
模型评估 根据人工和机器生成的测试用例测试套件来评估各种专有和开放的LLM。每个测试用例都与特定的场景环境相关联其中包括场景和随机采样的场景参数。使用以下三条条信息来初始化对话历史。 指定场景说明的用户消息 占位符辅助消息“I understand and will comply with the rules.” 测试用例的第一条用户消息。 重复调用该模型并将每个响应和后续用户消息附加到会话历史中直到测试用例中的所有用户消息都用完为止。第一个占位符响应之后的每个辅助响应都用与场景相对应的评估程序进行评估如果在任何响应之后程序确定至少有一个规则被打破认为模型没有通过测试用例。
模型细节 本文评估了各种流行的专有和公共模型包括OpenAI的GPT-3.5、GPT3.5 Instruction和GPT-4、Anthropic的Claude Instant和Claude、谷歌的PaLM 2 Text Bison以及Vicuna v1.37B、13B、33B、Llama 2 Chat7B13B、70B和Mistral Instruction v0.17B。OpenAI、Anthropic和Google模型可通过各自的API获得多个版本如下表所示。 GPT-3.5 Instruction和PaLM 2 Text Bison是文本生成模型而不是聊天模型因此使用一个简单的聊天模板来提示这两个模型进行对话响应如下表所示。 手动测试 根据场景的探索性期间记录的对话组装了一个初始手动测试。过滤重复的对话并删除辅助响应从而产生870个测试用例。测试案例的数量从155个认证案例到27个保密案例不等涵盖了广泛的策略。大多数记录的对话都针对负面规则但没有跟踪用户意图也没有区分负面和正面测试案例。下表中显示了手动测试的结果。所有模型都失败了大量的测试用例尽管GPT-4失败的测试用例数量最少其次是Claude Instant和Claude 2。 系统测试 每个策略的测试用例示例如上表所示。每个测试用例都包含一到三条用户消息。“Just Ask”策略为每个规则定义了一个单一的基本测试用例如果严格遵守将导致模型违反目标规则从而测试模型拒绝最直接攻击尝试的能力。大多数积极的规则都要求模型根据特定的用户输入产生特定的输出因此对于这些规则“Just Ask”测试用例由两条用户消息组成首先要求模型打破规则然后用正确的用户输入触发破规行为。 如下图所示所有评估的LLM在大量测试用例中都失败了。系统测试中负规则的性能与手动测试的性能密切相关。模型的夫负面测试失败率通常低于正面测试除Vicuna 33B外的所有开放模型几乎所有阳性测试都失败。结果表明引导模型偏离正确的行为比强迫这些模型做出特定的不正确行为要容易得多尤其是对于开放模型。 在所有评估的模型中GPT-4在系统测试中失败的测试用例最少。令人惊讶的是Claude Instant的表现略好于表面上能力更强的Claude 2。有的LLM不能可靠地遵循规则尽管它们可以抵制一些尝试但仍有很大的改进空间。 方差与不确定性 本文的结果中有几个方差和不确定性的来源。首先即使temperature设置为0OpenAI和Anthropic API的输出也是不确定的。这导致了测试用例结果的一些差异在下表中使用系统测试的子集进行了估计。 连续10次运行相同的评估并在每个评估的测试用例子集的39个测试用例中测量1.1个或更少的失败测试用例数量的标准差。PaLM 2 API在输出或测试用例结果方面没有任何变化在本地评估时也没有任何公共模型。
错误检测 如果模型无法可靠地遵循规则它们可能会至少能够可靠地检测到助手响应何时违反规则。为了回答这个问题从系统测试上评估的模型的输出以及地面实况传递/失败评估标签中抽取 1098 对用户消息和助手响应以衡量模型检测规则违规的能力作为零样本二元分类任务。 如上表所示大多数模型都可以比偶然做得更好但不能可靠地检测是否遵循了规则。将正数定义为助手响应违反场景的一个或多个规则的实例并测量通常定义的精度/召回率。目前还没有模型“解决”这个任务GPT-4 达到了 82.1% 的准确率和 F 分数 84.0其他模型下降得很短。需要一个简洁的“pass”或“fail”答案它将 Llama 2 等冗长模型置于劣势因为这些模型偶尔会用额外的文本预先查看他们的答案。
对抗性检测 本文还评估了Greedy Coordinate Gradient (GCG)这是一种最近提出的算法用于查找导致模型产生特定目标字符串的后缀与本文场景中的开放7B模型Vicuna v1.3、Llama 2 Chat和Mistral v0.1进行比较。GCG是一种迭代优化算法它在每个时间步长更新单个token以最大限度地提高目标语言模型下目标字符串的可能性。 结果如上表所示GCG可以增加所有三个评估模型的失败测试用例数量。Mistral特别容易被影响几乎所有的正面和负面测试都失败了而Llama 2仍然通过了一些负面测试。针对Llama 2 7B优化的后缀在针对其他模型使用时不会导致失败测试用例的数量显著增加。
结论 本文的实验表明目前的模型在很大程度上不足以遵循简单规则。尽管在指定和控制LLM的行为方面做出了重大努力但在人类能够指望模型可靠地抵御各种人类或机器生成的攻击之前研究界还有更多的工作要做。 同时本文的工作团队乐观地认为尽管过去十年在图像分类模型中对难以察觉的扰动的对抗性鲁棒性方面的进展慢于预期但在这一领域仍有可能取得有意义的进展。打破规则需要一个模型采取有针对性的生成行动而打破规则的目标可以在模型的内部表示中确定这反过来又可以产生基于检测和弃权的可行防御。 要想使AI虚拟助手在安全地整合到社会中就需要研究并改进LLMs对于规则遵循的能力。
参考文献
[1] LLMs可以遵循简单的规则吗?
