这篇文档属于类型a,即报告了一项原创研究。以下是对该研究的学术报告:
该研究的主要作者包括Zhaorun Chen(芝加哥大学)、Zhen Xiang(伊利诺伊大学厄巴纳-香槟分校)、Chaowei Xiao(威斯康星大学麦迪逊分校)和Dawn Song(加州大学伯克利分校)。研究发表在2024年的第38届Neural Information Processing Systems(NeurIPS)会议上。
该研究的主要科学领域是大型语言模型(LLM)代理的安全性,特别是针对基于检索增强生成(Retrieval-Augmented Generation, RAG)机制的LLM代理的潜在威胁。随着LLM代理在金融、医疗和自动驾驶等安全关键领域的广泛应用,其依赖的外部知识库和长期记忆模块可能成为攻击者的目标。研究旨在揭示LLM代理在面对知识库或记忆模块被污染时的脆弱性,并提出了一种名为“AgentPoison”的新型后门攻击方法。
研究的主要流程包括以下几个步骤:
问题定义与威胁模型:研究首先定义了LLM代理的威胁模型,假设攻击者能够部分访问RAG数据库,并注入少量恶意实例。攻击者的目标是在用户指令包含特定触发词时,诱导代理生成恶意输出,同时在正常指令下保持代理的正常性能。
触发词优化算法:研究提出了一种基于约束优化的触发词生成算法。该算法通过将触发词映射到嵌入空间中的唯一区域,确保包含触发词的指令能够高概率检索到恶意实例。优化目标包括最大化恶意实例的检索概率、目标动作生成的有效性以及触发词的文本连贯性。
实验设计与评估:研究在三种现实世界的LLM代理上进行了实验,分别是基于RAG的自动驾驶代理、知识密集型问答代理和医疗电子健康记录代理。实验中,研究分别向这些代理的RAG知识库和长期记忆模块注入了污染实例,并评估了AgentPoison的攻击成功率和对正常性能的影响。
结果分析:研究通过多个指标评估了AgentPoison的效果,包括检索成功率(ASR-R)、目标动作生成成功率(ASR-A)、端到端攻击成功率(ASR-T)和正常指令下的准确率(ACC)。实验结果表明,AgentPoison在攻击成功率上显著优于基线方法,同时对正常性能的影响最小。
攻击成功率:在三种LLM代理上,AgentPoison的平均检索成功率达到82%,端到端攻击成功率为63%,而正常指令下的准确率仅下降不到1%。
触发词的可迁移性:研究还发现,AgentPoison优化的触发词在不同类型的RAG嵌入器之间具有高度可迁移性,即使在黑箱嵌入器(如OpenAI的Ada模型)上也能有效攻击。
抗扰动性与隐蔽性:AgentPoison优化的触发词在面对多种扰动(如随机字母注入、词语注入和重述)时表现出较强的鲁棒性,并且能够有效规避基于困惑度检测或重述的防御机制。
AgentPoison首次提出了一种针对RAG机制LLM代理的后门攻击方法,通过污染其长期记忆或知识库,能够在用户指令包含特定触发词时诱导代理生成恶意输出。该研究不仅揭示了LLM代理在面对知识库污染时的脆弱性,还为开发更安全的LLM代理提供了重要参考。
创新性:AgentPoison是首个针对RAG机制LLM代理的后门攻击方法,无需额外的模型训练或微调,优化后的触发词具有高度的可迁移性、鲁棒性和隐蔽性。
实验结果:在三种现实世界的LLM代理上,AgentPoison表现出极高的攻击成功率,同时对正常性能的影响最小,证明了其在实际应用中的有效性。
方法论:研究提出了一种新颖的基于约束优化的触发词生成算法,通过将触发词映射到嵌入空间中的唯一区域,确保了恶意实例的高概率检索和目标动作的有效生成。
研究还详细讨论了AgentPoison在不同类型的RAG嵌入器之间的可迁移性,以及在面对多种扰动和防御机制时的鲁棒性。这些发现为进一步研究LLM代理的安全性提供了重要的实验数据和理论支持。
通过这项研究,学术界和工业界可以更好地理解RAG机制LLM代理的潜在威胁,并采取相应的防御措施,以确保其在安全关键应用中的可靠性。