LLM Security(LLM 安全)¶
定义¶
大型语言模型作为新兴计算范式面临的特有安全挑战。Karpathy 在 2023 年演讲 中将其类比为传统操作系统安全问题的翻版——新的计算栈必然带来新的攻击面。
三大攻击类型¶
1. 越狱 (Jailbreak)¶
绕过模型安全对齐,使其生成本应拒绝的内容。
攻击手法: - 角色扮演:让模型扮演"不受限制的 AI"或特定角色(祖母讲 Napalm 配方) - 编码绕过:用 base64 等编码方式提交有害请求——安全训练数据多为英文,模型在其他"语言"(包括编码格式)上的拒绝能力较弱 - 通用对抗后缀:通过优化搜索到一个可附加到任意 prompt 的后缀,自动越狱模型。修补特定后缀后可重新优化出新的 - 对抗性图像:精心设计的噪声图案附加到图像上,肉眼不可见但对模型构成越狱指令
核心难点:安全对齐本质上是在高维空间中划定"拒绝边界",而攻击者可以从无数方向绕过这个边界。
2. 提示注入 (Prompt Injection)¶
劫持模型的指令流——让模型将数据中嵌入的文本误认为新的用户指令。
攻击场景: - 图像中隐藏白色文本指令(人眼不可见,模型可读取) - 网页中嵌入劫持文本,通过 Bing 搜索触达模型(钓鱼链接注入) - Google Docs 中嵌入指令,通过 Bard 读取文档触发数据窃取
核心难点:模型无法可靠区分"用户指令"和"数据中包含的类似指令的文本"。
3. 数据投毒 (Data Poisoning / Backdoor)¶
在训练数据中植入触发模式,使模型在遇到特定触发词时行为异常。
Karpathy 引用的研究中,触发词"James Bond"被植入微调数据,导致模型在遇到该词时预测崩溃(标题生成输出无意义单字符、威胁检测判断失效)。类似"满洲候选人"——潜伏的后门在特定信号激活时发作。
与传统安全的对应¶
| 传统 OS 安全 | LLM 安全对应 | 类比本质 |
|---|---|---|
| 缓冲区溢出 | Jailbreak | 突破执行边界 |
| 代码注入 (SQL injection) | Prompt injection | 数据被当作指令执行 |
| 供应链攻击 | Data poisoning | 信任链上游被污染 |
| 杀毒软件/防火墙 | Guardrails | 运行时检测与防御 |
安全作为持续博弈¶
Karpathy 强调这是一场"猫鼠游戏"——每种攻击都有对应的防御,但防御修补后攻击者会找到新的路径。这与传统信息安全的攻防动态完全一致。
与 Wiki 已有概念的关系¶
- Guardrails — 防御侧的运行时安全机制,与这里描述的攻击侧互补
- LLM-OS Analogy — Karpathy 明确将 LLM 安全挑战类比为 OS 安全挑战
- Harness Engineering — harness 的权限控制和沙箱执行是防御 prompt injection 的工程手段
References¶
sources/karpathy-intro-to-large-language-models.md