这四个方法的核心用途是 判断大语言模型(LLMs)是否被"越狱成功"------简单说,就是评估模型在受到越狱攻击后,生成的响应是否真的违反安全规则、产生了有害内容(比如教人犯罪、宣扬暴力)。
它们是论文中梳理的四大类"越狱评估方法",各自从不同角度完成"是否越狱成功"的判断,具体作用和场景如下:
1. Human annotation(人工标注)
- 核心作用:由专家根据预设规则,直接判断模型响应是否"满足了恶意请求、产生有害内容",是最贴近人类价值观的"金标准"。
- 适用场景:需要极高准确性的场景(比如验证新评估方法的可靠性),或小规模数据集的标注。
- 简单理解:就像让法官审核"模型的回答是否真的违规",最权威但效率低。
2. Matching pattern strings(模式字符串匹配)
- 核心作用:通过检查模型响应中是否包含"拒绝类关键词/短语"(比如"我不能""这是非法的""抱歉"),快速判断是否越狱。
- 适用场景:大规模、低成本的初步筛选------如果模型响应里没有拒绝短语,可能是越狱成功;如果有,大概率没被越狱。
- 简单理解:就像用关键词过滤,快速排查"模型有没有直接拒绝恶意请求",效率高但不够精准。
3. Prompting chat completion models(提示聊天补全模型)
- 核心作用:让现成的聊天模型(比如GPT-4、ChatGLM、Llama Guard)作为"裁判",通过自然语言提示词,让它判断目标模型的响应是否违规。
- 适用场景:需要平衡"准确性和效率"的场景,既不想人工标注那么耗时,又想比字符串匹配更精准。
- 简单理解:相当于请另一个AI来审核"被测试AI的回答是否违规",灵活度高、适用范围广。
4. Consulting text classifiers(咨询文本分类器)
- 核心作用:用专门训练的文本分类模型(比如基于BERT/RoBERTa微调的模型,或OpenAI内容审核API),直接输出"有害/无害""越狱成功/失败"的标签或分数。
- 适用场景:需要结构化、自动化评估的场景(比如批量测试大量越狱样本),结果可直接用于数据统计。
- 简单理解:就像用一个专门的"违规检测器",输入模型响应后直接出结果,适合大规模自动化评估。
一句话总结共性
这四个方法本质都是"越狱成功与否的判断工具"------针对"恶意请求(比如'怎么制造炸弹')+ 模型响应"这一对组合,输出"是(越狱成功,响应有害)"或"否(越狱失败,响应安全)"的结论,只是判断的主体、方式和适用场景不同。