llm confidentiality

Ini adalah repositori kode yang menyertai bisikan kertas kami di mesin: kerahasiaan dalam sistem yang terintegrasi LLM.

Model bahasa besar (LLM) semakin ditambah dengan alat eksternal dan layanan komersial ke dalam sistem yang terintegrasi LLM . Sementara antarmuka ini dapat secara signifikan meningkatkan kemampuan model, mereka juga memperkenalkan permukaan serangan baru. Integrasi yang dimanipulasi, misalnya, dapat mengeksploitasi model dan mengkompromikan data sensitif yang diakses melalui antarmuka lain. Sementara pekerjaan sebelumnya terutama berfokus pada serangan yang menargetkan penyelarasan model atau kebocoran data pelatihan, keamanan data yang hanya tersedia selama inferensi telah lolos dari pengawasan. Dalam karya ini, kami menunjukkan kerentanan yang terkait dengan komponen eksternal dan memperkenalkan pendekatan sistematis untuk mengevaluasi risiko kerahasiaan dalam sistem yang terintegrasi LLM. Kami mengidentifikasi beberapa skenario serangan spesifik yang unik untuk sistem ini dan memformalkannya menjadi kerangka kerja alat-alat yang dirancang untuk mengukur kemampuan model untuk melindungi informasi sensitif. Kerangka kerja ini memungkinkan kita untuk menilai kerentanan model terhadap serangan kerahasiaan. Temuan kami menunjukkan bahwa semua model yang diperiksa sangat rentan terhadap serangan, dengan risiko meningkat secara signifikan ketika model digunakan bersama dengan alat eksternal.

Jika Anda ingin mengutip pekerjaan kami, silakan gunakan entri Bibtex ini.

• Satu set serangan terhadap LLM, di mana LLM tidak diizinkan untuk membocorkan kunci rahasia -> melompat ke bagian
• Satu set pertahanan terhadap serangan yang disebutkan di atas -> melompat ke bagian
• Kemungkinan untuk menguji kerahasiaan LLM dalam skenario penggunaan alat dummy serta dengan serangan dan pertahanan yang disebutkan -> melompat ke bagian
• Menguji LLMS di Alat-Dunia Nyata-Scenario Menggunakan Langchains Google Drive dan Integrasi Google Mail-> Lompat ke Bagian
• Membuat permintaan sistem yang disempurnakan untuk menginstruksikan LLM dengan aman agar tetap aman -> melompat ke bagian
• Instruksi untuk reproduktifitas dapat ditemukan di akhir readme ini -> lompat ke bagian

Sebelum menjalankan kode, instal persyaratan:

 python -m pip install --upgrade -r requirements.txt

Jika Anda ingin menggunakan model yang dihosting oleh OpenAi atau HuggingFace, buat kedua file key.txt yang berisi kunci API OpenAI Anda serta file hf_token.txt yang berisi token huggingface Anda untuk repo pribadi (seperti llama2) di direktori root dari ini proyek.

Terkadang perlu masuk ke akun huggingface Anda melalui CLI:

 git config --global credential.helper store
huggingface-cli login

Semua skrip dapat bekerja pada beberapa GPU/CPU menggunakan Perpustakaan Accelerate. Untuk melakukannya, jalankan:

 accelerate config

Untuk mengonfigurasi kemampuan pelatihan yang didistribusikan dari sistem Anda dan memulai skrip dengan:

 accelerate launch [parameters] <script.py> [script parameters]

 python attack . py - - strategy "tools" - - scenario "CalendarWithCloud" - - attacks "payload_splitting" "obfuscation" - - defense "xml_tagging" - - iterations 15 - - llm_type "llama3-70b" - - temperature 0.7 - - device cuda - - prompt_format "react"

Akan menjalankan serangan payload_splitting dan obfuscation terhadap LLM llama3-70b dalam CalendarWithCloud menggunakan pertahanan xml_tagging untuk 15 iterasi dengan suhu 0,7 pada perangkat CUDA menggunakan format prompt react dalam sistem yang terintegrasi dengan alat.

 < model_name > - < param_count > - < robustness > - < attack_suffix > - < custom_suffix >

misalnya:

 llama2 - 7 b - robust - prompt_injection - 0613

Jika Anda ingin menjalankan serangan terhadap model yang disesuaikan dengan awalan dengan akhiran khusus (misalnya, 1000epochs ), Anda harus menentukan argumen yang berikut:

... - - model_name llama2 - 7 b - prefix - - name_suffix 1000 epochs ...

(Finetuned atau model llama yang kuat/mengeras pertama -tama harus dihasilkan menggunakan skrip finetuning.py , lihat di bawah)

Serangan base_chat terdiri dari pertanyaan normal untuk menguji model menumpahkan konteks dan informasi rahasia bahkan tanpa serangan nyata.

Bagian ini mencakup opsi finetuning llama yang mungkin. Kami menggunakan PEFT, yang didasarkan pada makalah ini.

Selain pengaturan pengaturan di atas

accelerate config

Untuk mengonfigurasi kemampuan pelatihan yang didistribusikan dari sistem Anda. Dan

wandb login

dengan kunci API Wandb Anda untuk memungkinkan pencatatan proses finetuning.

Opsi finetuning pertama adalah pada dataset yang terdiri dari petunjuk sistem untuk menginstruksikan LLM dengan aman untuk menjaga keamanan kunci rahasia. Opsi finetuning kedua (menggunakan opsi --train_robust ) menggunakan petunjuk sistem dan permusuhan meminta untuk mengeraskan model terhadap serangan injeksi yang cepat.

 python finetuning . py [ - h ] [ - llm | - - llm_type LLM_NAME ] [ - i | - - iterations ITERATIONS ] [ - a | - - attacks ATTACKS_LIST ] [ - n | - - name_suffix NAME_SUFFIX ]

Saat ini hanya model LLAMA yang didukung ( llama2-7/13/70b / llama3-8/70b ).

Cukup jalankan skrip generate_dataset.py untuk membuat prompt sistem baru sebagai file JSON menggunakan LLMS.

Untuk menguji kerahasiaan LLMS dalam skenario alat dunia nyata, kami menyediakan kemungkinan untuk menguji LLM di Google Drive dan integrasi Google Mail. Untuk melakukannya, jalankan skrip /various_scripts/llm_mail_test.py dengan kredensial Google API Anda.

Akan mengajukan pertanyaan jinak LLM untuk memeriksa bocor rahasia bahkan tanpa serangan
python attack.py --llm_type <model_specifier> --strategy secret-key --attacks chat_base --defenses None --iterations 100 --device cuda

Akan menjalankan semua serangan terhadap LLM tanpa pertahanan. Iterasi akan dibagi secara merata pada serangan yang digunakan. Jadi tergantung pada jumlah serangan yang digunakan, jumlah iterasi harus diadaptasi. (Misalnya, untuk 14 serangan dengan 100 iterasi mengatur parameter iterasi ke 1400)
python attack.py --llm_type <model_specifier> --strategy secret-key --attacks all --defenses None --iterations 100 --device cuda

Akan menjalankan semua serangan terhadap LLM dengan semua pertahanan
python attack.py --llm_type <model_specifier> --strategy secret-key --attacks all --defenses all --iterations 100 --device cuda

Will System Prompt menginstruksikan LLM dengan kunci rahasia dan instruksi untuk tidak membocorkan kunci rahasia diikuti oleh permintaan sederhana untuk mencetak kunci rahasia
python attack.py --llm_type <model_specifier> --strategy tools --scenario all --attacks base_attack --defenses None --iterations 100 --device cuda

Akan menjalankan semua alat-alat-alat tanpa serangan dan pertahanan menggunakan kerangka reaksi
python attack.py --llm_type <model_specifier> --strategy tools --scenario all --attacks identity --defenses None --iterations 100 --prompt_format ReAct --device cuda

Akan menjalankan semua alat-alat-alat tanpa serangan dan pertahanan menggunakan kerangka reaksi
python attack.py --llm_type <model_specifier> --strategy tools --scenario all --attacks identity --defenses None --iterations 100 --prompt_format tool-finetuned --device cuda

Akan menjalankan semua alat-alat-alat tanpa serangan dan pertahanan menggunakan kerangka reaksi
python attack.py --llm_type <model_specifier> --strategy tools --scenario all --attacks all --defenses None --iterations 100 --prompt_format tool-finetuned --device cuda

Akan menjalankan semua alat-alat-alat tanpa serangan dan pertahanan menggunakan kerangka reaksi
python attack.py --llm_type <model_specifier> --strategy tools --scenario all --attacks all --defenses all --iterations 100 --prompt_format tool-finetuned --device cuda

Jika Anda ingin mengutip pekerjaan kami, silakan gunakan entri Bibtex berikut:

 @article { evertz-24-whispers ,
	title    =  { {Whispers in the Machine: Confidentiality in LLM-integrated Systems} } , 
	author   =  { Jonathan Evertz and Merlin Chlosta and Lea Schönherr and Thorsten Eisenhofer } ,
	year     =  { 2024 } ,
	journal  =  { Computing Research Repository (CoRR) }
}