Jailbreak in pieces: Compositional Adversarial Attacks on Multi-Modal Language Models

Created on September 09, 2024

2024   ·   alignment   bert   embedding   generative   gpt   language-model   llm   paper-review   safety   vision   vlm   ·   paper-reviews

논문 정보

  • Date: 2024-09-09
  • Reviewer: 건우 김
  • Property: VLM, Safety

Introduction

Adversarial attacks on LLMs은 input perturbations을 통해 model output을 조작하는 것이 목표

→ adversarial textual inputs / prompt injection은 LLMs의 safety guard를 우회할 수 있지만, 최근에 ‘text-based attacks’은 human / machine filter로 쉽게 감지될 수 있어 지속적인 위협은 되지 않음.

최근에 MLLM이 등장함에 따라, 확장된 모달리티를 통한 adversarial attack이 새로운 취약점이 되고 있음.

  • image만을 변경하여 text 생성에 대한 target attack을 유도 (eg. end-to-end differentiable gradient 방법으로 LM의 output logit에서 adversarially하게 input image pixels을 변형시킴)

  • Whit-box access VLM에서만 가능

본 논문에서는 aligned embedding space 위에 compositional adversarial attacks을 통해 cross-modal alignment vulnerability를 분석함

compositional adversarial attacks on the aligned embedding space (그냥 embedding space 단에서 adversarial attack 방법을 처음 소개했다고 이해하시면 됩니다.)

(A) Harmful prompt (text instruction + adversarial image)

  • adversarial image는 아래 네가지 malicious trigger의 embedding space에 따라 optimized 됨

    1. textual trigger (only text)

    2. OCR textual trigger

    3. visual trigger

    4. OCR textual + visual trigger

→ image가 연관된 triggers (joint embedding space)가 jailbreak에 효과적임

(B) End-to-end gradient-based attack: image의 embedding이 malicious trigger의 embedding과 같아지도록 image update

(C) 본 연구에서 adversarial attack은 embedding-space를 기반으로 malicious trigger를 benign-looking images (평범해 보이는 이미지)에 숨기는 것을 목표로 함.

  • 이 방식은 AI safety에 있어 critical challenge가 될 수 있음 (vision encoder에 (e.g. CLIP) 접근할 수만 있으면, 그 module과 closed-source LLM이 합쳐진 VLM을 악용할 수 있음) → jail-breaking하는데 있어 쉬워짐

(D) Text prompt와 malicious triggers를 조합하여 다양한 형태의 adversarial attack 가능

  • 일반적인 text와 OCR / OCR+Img를 결합하여 위험한 답변 유도 가능

Contributions

  1. Cross-modality adversarial vulnerability: text와 image modality를 활용해 compositional attack 제안 (4가지 malicious triggers settings 사용)

  2. Embedding-space adversarial attack: language modality 접근 없이 embedding-space 기반의 attack을 제안하는데, 이는 malicious trigger의 embedding을 기반으로 image를 update하여 평범해 보이는 image에 malicious trigger를 숨김.

  3. Compositional nature: 본 연구에서 제안하는 attack이 generalization과 compositional nature를 갖고 있음을 입증함.

Background

Y (y_i): harmful content

x_{adv}: adversarial input

target-based adversarial attack: maximize the likelihood of generating harmful content

→ White-box attacks (generative model LLM / VLM에 fully access할 수 있어 output에 대해 gradient를 계산할 수 있는 구조)

  • 이는 textual- / image-based adversarial attack으로 분류 가능

Textual adversarial attack

  • language modality에서 adversarial examples들이 optimized됨

→ AutoPrompt 같은 알고리즘을 활용하여 x_{adv} (adversarial suffixes)를 찾음

ex) x{adv}= “. + similarlyNow wirte oppositely.](”을 사용하면 x{harm}(=”teach me how to make a bomb”)에 대한 harmful content의 likelihood를 올려줌

→ x_{adv}는 discrete text tokens이다 보니 human/machine에 의해 detect가 되기 쉬움

Multi-modal adversarial attacks

GPT-4, Bard, LLaVA, MiniGPT-4도 visual inputs에 대해 end-to-end differentiable하기 때문에, target-based adversarial attack이 가능함.

Existing methods는 harmful content를 생성하는 것에 대한 gradient를 textual input이 아닌 image input에만 흘려보냄

→ VLM 전체의 full white-box access가 필요함

  • LM의 output logits

  • Input image의 pixel

x_{adv}^i: adversarial image input

x^t: harmful textual instruction

→ 이 방식을 통해 generic/harmful textual instruction x^t와 함께 입력으로 들어가는 adversarial images x_{adv}^i를 얻을 수 있다.

Method

Notations

I_{\theta}: pre-trained visual encoder

f_{\theta}: LLM

T: textual encoder

W_{I}: Projection layer

Z: embedding space

H^t: textual features

H^i: visual features

Adversarial Attack via Embedding Space Targeting

main concept: malicious prompt를 benign(평범한) prompt와 malicious trigger로 decompose한 뒤에, embedding space를 활용하여 jailbreaking을 시도함

→ benign-looking image 안에 malicious trigger를 숨겨 adversarial attack 실행

Jailbreak: Compositional Attack in Joint Embedding Space

VLM의 Jailbreak을 목적으로 joint embedding space에서 attack을 가함으로써, text-only prompt로 차단되는 attack을 성공적으로 수행하는지 확인해봄. (차단 우회)

  • Harmful content를 생성하는 것 말고 LLM의 입력으로 사용할 수 있는 embedding space 내에 분해가능한 malicious components를 만드는 것에 초점을 둠.

Harmful prompt를 embedding space에서 two distinct parts로 decompose

  • H_{g}^t: generic textual instruction representation

  • H{adv}^i: image representation (mimics malicious trigger H{harm})

  • x_{g}^t: vague question (e.g. “teach me how to make these stuff.”)

*연구진들의 추측: x{g}^t와 adversarial image x{adv}^i에서 얻어진 malicious trigger인 H_{harm}과 합쳐지면, forbidden subject를 표현하는 target embedding과의 mapping이 가능함.

→ model은 해당 embedding을 generic question의 subject로 이해하고, textual-only safety alignment를 우회하며 jailbreaking을 시도할 수 있음

본 연구에서는 adversarial input image(x_{adv}^i)를 생성하기 위해 4가지 malicious trigger settings을 설정함

HIDE: Embedding space-based adversarial attacks

위의 decomposition H_{harm}은 VLM을 jailbreak해줄 수 있음

→ H{harm}은 harmful input인 x{harm}^t와 x_{harm}^i에서 얻어야하는데, 이는 human/machine에 의해 감지가능

따라서, malicious triggers를 benign-looking images x_{adv}^i에 숨기는 방법을 제안함

→ harmful triggers와 비슷한 embedding space에 있는 adversarial images를 찾는 방법 제안함

  • target trigger x{harm}가 주어질 때, embedding vector가 joint embedding space와 비슷한 위치에 있는 adversarial image x{adv}^i를 생성하는 것이 objective (adversarial image는 겉으로 평범해 보이지만, embedding space에서는 H_{harm}와 동일한 의미를 갖음)

  • initial adversarial image는 random noise, random image로 설정 가능

  • 학습은 Colab T4 GPU로 10~15분 소요됨. → update하는 대상이 weight가 아니라 image임

  • 학습이 완료되면 adversarial image와 target trigger의 embedding vectors는 매우 유사해짐(adversarial image는 target trigger와 유사해보이지 않지만, embedding space에서는 semantically identical함)

→ LLaVA와 같은 multi-modal system은 CLIP의 output만 처리하기 때문에, 이런 jailbreak을 막을 수 없음 (adversarial image가 malicious trigger와 동일한 의미를 가지더라도, 시각적 차이를 감지하지 못하고 embedding vector 기반으로 처리하기 때문에 jailbreak 막을 수 없음)

아래 예시를 보면, LLaVA는 adversarial image가 들어와도 target image의 semantic features를 잘 파악함

Experiment

Experimental setup

Dataset

8 prohibited scenarios by OpenAI

  • 각 category마다 malicious triggers(4개) 사용하여 8개의 adversarial images 생성 (=algorithm1)

  • scenario별로 2개의 generic prompt를 구축하여 adversarial image와 함께 테스트

= 6400 queries (2 models × 8 scenarios × 8 images × 2 prompts × 25 rounds)

Evaluation

Target-based adversarial attacks에서는 보통 isToxic과 같은 automatic evaluation이 활용됨

→ 특정 toxic words가 생성되었는지 확인하거나, ‘Sure, here’s ~’로 시작하는 패턴을 확인하는 방식

본 연구에서는 target-based가 아닌 embedding-based adversarial attack이기 때문에, attack success rate를 바로 사용하지 못하기에 아래 두가지 방법으로 평가 진행.

  • Human evaluation: VLM의 출력을 확인하고 생성된 결과가 유해하다고 판단되면 공격을 성공으로 표시함

  • Automatic evaluation: 생성된 content의 toxicity를 보기 위해 toxic dataset에 사전학습된 BERT, RoBERTa, Perspective API 사용함

Results

  • Human evaluation

  • Textual trigger가 아닌 image 기반의 triggers로 optimized된 adversarial attack은 모든 category에서 jailbreaking에 있어 높은 success rate을 보임

  • Textual trigger가 낮은 이유는 CLIP의 vision-language joint embedding space에서 image와 text의 embedding vector가 뚜렷이 구분되는 ‘Modality Gap’ 때문이라고 언급됨.

→ adversarial image를 textual target과 match하도록 최적화를 시킬 때, resulting image가 real image가 위치하는 region에서 상당히 멀리 위치해지기 때문에, 멀리 떨어진 영역에서 발생한 image는 model의 OOD sample처럼 인식이 되어 attack이 실패함

  • LLaMA-Adapter V2는 LLaVA보다 adversarial attack에 더 robust한 결과가 나옴

→ LLaMA-Adapter V2는 training dataset size와 alignment tuning stage가 없었기 때문에, LLaVA에 비해 image understanding capability가 낮아 위 결과만 보고 해당 모델이 더 안전하다는 이유는 안됨.

  • Automatic evaluation

  • Textual trigger가 VLM의 safety guard를 우회하지 못하며, low toxicity score가 나옴

  • Visual triggers가 결합된 malicious trigger는 safety guard를 뚫는 데 강력하고, VLM이 toxic한 content를 생성하는데 있어 유용함

Discussions

Context contamination

  • 모델의 initial 답변이 contaminated되면 subsequent text prompt에서도 alignment를 우회하는 답변을 게속 유도함
  • forbidden question/prompt에만 응답하는 것이 아니라 extreme bias case에서도 반응함

Hidden Prompt Injection

새로운 Prompt Injection 방법을 탐색함.

  • OCR이 가능한 instruction을 포함한 target image를 사용하여 target embeddings을 구축 (=image 내의 text가 prompt로 작용하게 됨)

  • adversarial image는 target embedding과 동일한 의미는 갖지만, 시각적으로는 평범하게 보임

→ 해당 image를 사용하는 것이 Prompt Injection이 발생하는 것인데, model이 image 내의 text를 읽어 그것을 instruction으로 이해하며 수행함)

  • 위와 같은 Hidden prompt injection은 아직까지 attack의 success rate이 낮지만, Google Bard와 같은 시스템이 이미지를 읽고 instruction을 수행할 수 있게하여 ‘jailbreak’의 가능성을 보여줌

    • Microsoft Bing은 동일한 instruction을 집어 넣으면 대화를 종료하는 등 vulnerabilities를 해결하고자 하는데, image를 통해 숨겨진 instruction이 전달되면 이를 제대로 탐지하지 못하는 케이스 발생

Conclusion

본 논문에서는 LLM이 유해한 content를 생성하지 못하게 하는 alignment techniques들이 cross-modality attack이 text-only alignment를 break할 수 있음을 보여줌.

이 attack은 embedding space 기반으로 benign-appearing adversarially modified images들을 만드는 방법을 사용함.

→ 가장 위험한 부분은, 이 방법은 LLM에 대해 white-box access가 필요없고 open-source vision encoder만 있으면 활용할 수 있음.