如何让一个AI回答一个它本不应该作答的问题？

有很多这种所谓的“越狱”技术，而Anthropic的研究人员最近发现了一种新方法：如果首先用几十个危害性较小的问题对大型语言模型（LLM）进行预热，就能诱使其告诉你如何制造炸弹。

他们将这种方法称为“多轮越狱”，不仅撰写了相关论文，还将其告知了人工智能领域的同行们，以便能采取措施来减轻这一风险。

1.长文本越卷越离谱，不料却成“祸端”

这个新的漏洞是由于最新一代LLM的“上下文窗口”增大而产生的。上下文窗口是指模型可以暂存的数据量，以前只能存储几句话，而现在则能容纳数千词甚至整本书的内容。

Anthropic的研究团队发现，具有较大上下文窗口的模型在提示中包含大量该任务示例时，它们的表现往往会更好。

因此，如果在提示中有大量的小知识问题（或引导文件，如模型上下文中包含的一长串小知识列表），模型给出的答案实际上会随着时间的推移而变得更准确。所以，如果是一个事实问题，原本第一个问题，模型可能会回答错误，但如果是第一百个问题，它可能会回答正确。

然而，在这种被称为“上下文学习”的意想不到的扩展中，这些模型在回答不适当的问题方面也变得更“好”。如果你一开始就要求它制造炸弹，它会拒绝。但如果先让它回答99个危害性较小的问题，然后再提出制造炸弹的要求……这时模型更有可能服从指令。

图片

2.限制上下文窗口有效果，但效果不大

为什么这种方法奏效呢？

没有人真正理解在大模型内部错综复杂的权重网络中发生了什么，但显然存在某种机制，使其能够准确把握用户的需求，这一点从上下文窗口中的内容就可以得到证明。

如果用户想要小知识信息，那么当你提出几十个问题时，它似乎会逐渐激活更多的潜在小知识的处理能力。出于某种原因，当用户提出几十个不适当的问题时，同样的情况也会发生。

Anthropic团队已经将这一攻击方式告知了同行甚至是竞争对手，希望促进一种文化氛围的养成，即在LLM供应商和研究人员之间公开共享此类漏洞的习惯。

为了缓解这一问题，他们发现，尽管限制上下文窗口有助于改善这一状况，但这同时也对模型的性能产生负面影响。这显然是不可取的，因此他们致力于在将问题输入模型之前对其进行分类和情境化处理。当然，这样一来，可能导致出现需要绕过的新型防御机制，但在AI安全性持续发展的阶段，这种动态变化是预期之内的。

3.结语：尽管不紧迫，但仍要早做准备

自月之暗面宣布Kimi启动200万字内测的动作后，点燃了长文本赛道新一轮“内卷”的热情。去年还在拼参数，今年又拼起了长文本，大模型的竞技永远焦灼。但在AI发展势不可挡的同时，也需要更多人意识到AI安全研究的重要性。

毕竟大模型是黑盒子，如何训练强大的AI系统以使其稳健地具备有用性、诚实性和无害性，尚且是个未解之谜。AI的快速进步带来技术颠覆的同时也可能导致灾难性后果，因为AI系统可能战略性地追求危险的目标，或者在高风险情境中犯下更多无心之过。   

早在去年3月，Anthropic官网就发布了《AI安全的核心观点》一文，系统阐述了Anthropic面向未来的AI安全策略。文中审慎地提到：

“我们想明确表示，我们不认为当今可用的系统会造成迫在眉睫的问题。然而，如果开发出更强大的系统，现在就做基础工作以帮助降低高级AI带来的风险是明智的。事实可能证明，创建安全的AI系统很容易，但我们认为为不太乐观的情况做好准备至关重要。”