PyTorchKR​

• 여러가지 이유로 LLM 모델은 출시 전 서비스 사업자로부터 안전(Safety)에 대한 몇 가지 제약을 가지게 됩니다. 예를 들어 폭탄이나 총기와 같이 유해한 물품의 제조법과 같은 내용을 무분별하게 알려주지 않게 말이죠.

• 하지만 명시적인 단어가 아닌, ASCII 아트라고 불리는 글자로 만드는 그림을 통해 LLM이 원치 않는 작업을 하도록 만들 수 있다고 합니다. 어떠한 연구인지 함께 살펴보실까요?

• 주의: 이 글과 이 글에 포함된 참고 URL에는 LLM의 예상치 못한 동작을 유발하는 내용이 담겨있으며, 예시로 담긴 내용에는 공격적이거나 불쾌한 내용이 포함되어 있을 수 있습니다.

__        __   _                            _        
\ \      / /__| | ___ ___  _ __ ___   ___  | |_ ___  
 \ \ /\ / / _ \ |/ __/ _ \| '_ ` _ \ / _ \ | __/ _ \ 
  \ V  V /  __/ | (_| (_) | | | | | |  __/ | || (_) |
 __\_/\_/ \___|_|\___\___/|_| |_| |_|\___|__\__\___/ 
|  _ \ _   |_   _|__  _ __ ___| |__   | |/ /  _ \    
| |_) | | | || |/ _ \| '__/ __| '_ \  | ' /| |_) |   
|  __/| |_| || | (_) | | | (__| | | |_| . \|  _ <    
|_|    \__, ||_|\___/|_|  \___|_| |_(_)_|\_\_| \_\   
       |___/                                         

---

ArtPrompt: 정렬된 LLM에 대한 ASCII 아트 기반의 탈옥 공격 (ArtPrompt: ASCII Art-based Jailbreak Attacks against Aligned LLMs)

논문 개요 및 배경

대규모 언어 모델(LLM)은 수학 추론, 코드 완성, 창의적 글쓰기와 같은 작업에서 탁월한 능력을 보여주며 여러 응용 분야에서 혁명을 일으켰습니다. 그러나 더 많은 사람들이 LLM을 사용하기 시작하면서 여러가지 안전 문제가 제기되었습니다. 이 논문은 GPT-3.5, GPT-4, Gemini, Claude, Llama2와 같은 대규모 언어 모델(LLM)의 안전 조치를 우회하는 새로운 ASCII 아트 기반 기법인 ArtPrompt라는 이름의 탈옥 공격(jailbreak attack)을 소개하며, LLM의 ASCII 아트 인식에서의 미흡한 성능을 활용하여 안전 조치를 우회합니다.

또한, Vision-in-Text Challenge(ViTC)라는 종합적인 벤치마크를 통해 이 작업은 선도적인 LLM의 ASCII 아트 이해 능력을 평가하고 ArtPrompt가 어떻게 원치 않는 행동을 효과적이고 효율적으로 유도할 수 있는지를 보여줍니다. 이러한 발견은 현재 LLM 안전 메커니즘의 중요한 취약점을 밝히며, 이러한 혁신적인 공격에 대한 보다 견고한 방어의 시급한 필요성을 강조합니다.

ASCII 아트(ASCII Art)는 ASCII 표준의 문자를 사용하여 객체의 시각적 표현을 만드는 데 사용됩니다. 탈옥 공격(Jailbreak Attack)은 LLM의 취약점을 악용하여 안전 조치를 우회하고 모델로부터 금지되거나 원치 않는 응답을 유도하는 기술을 설계한 것입니다.

ChatGPT 출시 이후 지금까지 LLM에 대한 여러 탈옥 공격이 있었으며, 많은 경우에 데이터 필터링, 감독된 미세 조정(SFT, Supervised Fine-Tuning), 인간 피드백에서의 강화 학습(RLHF)에 중점을 두었으며, 주로 텍스트의 의미를 해석하는데 그 초점을 맞추었습니다. 이러한 방법들은 어느 정도 LLM의 안전을 개선하였고, 현재 서비스되고 있는 대부분의 모델들에 이러한 안전 조치들이 적용되어 있습니다.

하지만 이렇게 LLM을 안전하게 정렬하기 위한 광범위한 노력에도 불구하고, 이 논문은 텍스트의 의미만을 해석하는 것을 전제로 한다는 중요한 전제가 현실 세계의 시나리오에서 실패한다고 지적합니다. 여기서 텍스트 콘텐츠는 ASCII 아트와 같이 시각적 정보를 전달하기 위해 사용될 수 있으며, 이는 악의적 사용자가 악용할 수 있는 취약점으로 이어집니다.

ArtPrompt 소개

ArtPrompt는 LLM이 ASCII 아트를 효과적으로 인식하지 못한다는 취약점에서 착안한 공격 방법으로, 대규모 언어 모델(LLM)의 안전 조치를 우회하여 원치 않는 행동을 유도할 수 있습니다. ArtPrompt의 주요 구성 요소와 작동 방식은 다음과 같습니다:

ArtPrompt의 동작 방식은 다음과 같습니다.

ArtPrompt의 동작방식을 설명하기 위해서는 핵심적인 두 단계인 단어 마스킹(Word Masking) 과 은폐된 프롬프트 생성(Cloaked Prompt Generation) 에 대한 설명이 필요합니다. 각 단계는 LLM의 안전 필터를 우회하여 금지된 내용에 대한 응답을 유도하기 위해 중요한 역할을 하며, 다음과 같습니다:

1단계: 단어 마스킹(Word Masking)

이 단계에서는 공격자가 LLM의 안전 필터를 우회하기 위해 타깃 프롬프트에서 민감한 단어를 식별하고 마스킹합니다. 마스킹은 민감한 단어를 숨기거나 제거하여 LLM이 이를 인식하지 못하게 하는 과정입니다.

예를 들어, 공격자가 LLM에게 폭탄 제조 방법에 대해 묻고 싶어 할 때, "폭탄(BOMDB)"이라는 단어는 LLM의 안전 필터에 의해 금지된 단어로 인식될 수 있습니다. 이를 우회하기 위해 공격자는 "폭탄"이라는 단어를 마스킹하고, 예를 들어 "X" 또는 다른 임의의 문자로 대체할 수 있습니다. 따라서 "폭탄 제조 방법은 무엇인가요?"라는 원본 프롬프트는 "X 제조 방법은 무엇인가요?"로 마스킹됩니다.

2단계: 은폐된 프롬프트 생성(Cloaked Prompt Generation)

1단계에서 마스킹한 단어를 ASCII 아트로 변환한 후, 이를 원본 프롬프트에 다시 삽입하여 은폐된 프롬프트를 생성합니다. 이 은폐된 프롬프트는 LLM의 안전 필터를 우회하고 원하는 응답을 유도할 수 있습니다.

앞에서의 예시를 계속 살펴보겠습니다. 앞에서 "폭탄"이라는 단어를 마스킹한 후, 공격자는 "폭탄"을 나타내는 ASCII 아트를 생성합니다. 예를 들어, "폭탄"을 나타내는 ASCII 아트가 아래와 같다고 가정해 봅시다:

 _                     _     
| |__   ___  _ __ ___ | |__  
| '_ \ / _ \| '_ ` _ \| '_ \ 
| |_) | (_) | | | | | | |_) |
|_.__/ \___/|_| |_| |_|_.__/ 

공격자는 이제 마스킹된 프롬프트 "X 제조 방법은 무엇인가요?"에 ASCII 아트를 삽입하여, LLM이 인식하지 못하는 방식으로 "폭탄"이라는 단어를 은폐합니다. 이렇게 생성된 은폐된 프롬프트는 LLM에 제출될 때, LLM은 "폭탄"이라는 단어를 ASCII 아트로 인식하지 못하고, 따라서 안전 필터를 우회하여 민감한 내용에 대한 응답을 제공할 수 있습니다.

ArtPrompt의 유효성 측정

ArtPrompt의 유효성을 측정하기 위해, 저자들은 HPR, HS, ASR과 같은 3가지 성능 지표를 사용하였습니다. 이러한 지표들은 추후 새롭게 출시되는 LLM의 안전성을 평가하는 지표로 활용할 수 있음은 물론, 이러한 탈옥 공격을 방어하기 위한 방법을 개발할 때 중요한 지표로 사용할 수 있을 것으로 보입니다. 각각의 지표들은 다음과 같습니다:

유용율: HPR (Helpful Rate)

HPR은 LLM이 제공한 응답 중에서 요청을 거부하지 않고 유용한 정보를 제공한 응답의 비율을 나타내는 지표로, 아래와 같이 계산할 수 있습니다:

이 지표는 LLM이 얼마나 자주 공격을 인식하지 못하고 금지된 정보나 지시에 대해 유용한 반응을 제공하는지를 나타냅니다. 높은 HPR 값은 LLM이 공격에 대해 취약하다는 것을 의미할 수 있습니다.

유해지수: HS (Harmfulness Score)

HS는 LLM의 응답이 얼마나 해로운지를 평가하는 지표로, 응답의 해로움을 점수로 나타낸 것입니다. 일반적으로 1부터 5까지의 점수로 나타내며, 점수가 높을수록 응답의 해로움이 큰 것을 의미합니다. HS는 다음과 같이 정의합니다:

이 지표는 LLM이 제공하는 응답의 위험성 수준을 정량화합니다. 이를 통해 연구자들은 LLM의 안전 조치가 특정 유형의 해로운 요청에 얼마나 잘 대응하는지 평가할 수 있습니다.

공격 성공율: ASR (Attack Success Rate)

ASR은 공격이 성공적으로 LLM의 안전 조치를 우회하여 해로운 반응을 유도한 경우의 비율을 나타냅니다. 이 때, HS가 5인, 즉 가장 해로운 반응만을 고려하여 계산합니다. 즉, ASR은 다음과 같이 정의할 수 있습니다:

ASR은 공격의 성공률을 직접적으로 나타내는 지표로, LLM의 안전성을 평가하는 데 중요한 역할을 합니다. 높은 ASR 값은 공격이 효과적이라는 것을 의미하며, LLM의 안전 조치가 강화되어야 함을 시사합니다.

ViTC(Vision-in-Text Challenge) 벤치마크

위에서 제시한 문제를 해결하기 위해, 저자들은 ViTC(Vision-in-Text Challenge)라는 벤치마크를 개발하였습니다. 텍스트에서의 비전 인식 능력을 나타내는 이 벤치마크는 대규모 언어 모델(LLM)의 ASCII 아트 인식 능력을 평가하기 위해 만들어진 도구입니다. 이 벤치마크의 주요 목적은 LLM이 ASCII 아트로 표현된 텍스트를 얼마나 잘 인식하고 이해할 수 있는지 측정하는 것입니다. 이는 ArtPrompt와 같은 ASCII 아트 기반의 탈옥 공격을 통해 LLM의 안전성을 테스트하고, 이러한 공격에 대한 LLM의 취약점을 식별하기 위해 만들어졌습니다.

예를 들어, ViTC-L 데이터셋에 "OK"라는 문자열의 ASCII 아트가 포함되어 있다고 가정해 봅시다. LLM이 이 ASCII 아트를 "OK"로 정확히 인식한다면, 해당 샘플의 Acc는 1이 됩니다. 만약 LLM이 "O"는 정확히 인식했으나 "K"를 잘못 인식했다면, 해당 샘플의 AMR 값은 0.5가 됩니다(2개 문자 중 1개만 정확히 인식했으므로).

ViTC 벤치마크를 통해, 연구자들은 LLM의 ASCII 아트 인식 능력의 한계를 정량적으로 평가하고, 이러한 한계를 극복하기 위한 새로운 기술이나 접근 방식을 개발할 수 있습니다. 이는 LLM의 보안과 안전성을 강화하는 데 중요한 역할을 합니다.

ViTC 벤치마크의 구성

ViTC 벤치마크는 ViTC-S와 ViTC-L이라는 두 가지 데이터셋으로 구성됩니다:

• ViTC-S: 단일 문자(예: 숫자 '0'에서 '9', 알파벳 'A'에서 'Z'까지의 대문자 및 소문자)를 ASCII 아트로 표현한 데이터셋입니다. 각 샘플은 다양한 폰트를 사용하여 ASCII 아트로 표현됩니다.

• ViTC-L: ViTC-S에서 파생된 데이터셋으로, 여러 문자로 이루어진 문자열(예: "dog", "hello" 등)을 ASCII 아트로 표현한 것입니다. 각 샘플은 문자열을 구성하는 개별 문자의 ASCII 아트를 결합하여 생성됩니다.

성능 측정 방법

ViTC 벤치마크는 LLM의 ASCII 아트 인식 능력을 평가하기 위해 예측 정확도(Accuracy, Acc) 와 평균 일치 비율(Average Match Ratio, AMR) 이라는 2가지 지표를 사용합니다.

• 예측 정확도(Acc): LLM이 ASCII 아트로 표현된 문자 또는 문자열의 정확한 레이블을 얼마나 잘 예측하는지 측정합니다. 수식으로 표현하면 다음과 같습니다.

• 평균 일치 비율(AMR): ViTC-L 데이터셋에서 중요하게 취급하는 지표(metric)로, 예측된 레이블과 실제 레이블 간의 문자 일치 비율을 평균적으로 측정합니다. 수식은 다음과 같습니다(이 때, 아래 N 은 평가 대상이 되는 샘플의 총 수입니다):

평가 결과

ViTC(Vision-in-Text Challenge) 벤치마크를 사용하여 평가한 결과, GPT-3.5, GPT-4, Gemini, Claude, Llama2와 같이 현재 최첨단(SotA, State-of-the-Art)의 LLM 모델들은 ASCII 아트로 표현된 프롬프트를 인식하는 데 상당한 어려움을 겪는 것으로 나타났습니다. 이러한 모델들은 주로 문자의 의미적 해석에 초점을 맞추고 있으며, ASCII 아트와 같은 비정형적이고 시각적인 정보를 처리하는 데 제한적입니다.

결과

ArtPrompt의 구현은 탈옥 공격을 대상 LLM에 대해 효과적이고 확장 가능한 방법을 보여줍니다. 이 접근법의 단순성과 효과는 현재 LLM 안전 메커니즘의 중대한 취약점과 보다 정교한 방어가 시급히 필요함을 강조합니다.

또한, ViTC 벤치마크를 통해 주요 LLM들에게 ArtPrompt 방법을 사용한 우회 공격이 성공적으로 동작함을 발견하였습니다. 이러한 발견은 LLM 개발자들에게 중요한 시사점을 제공합니다. 모델의 안전성 및 신뢰성을 높이기 위해서는 단순히 텍스트의 의미적 해석 능력을 넘어서, 다양한 형태의 데이터 표현(예: ASCII 아트)을 정확하게 이해하고 처리할 수 있는 새로운 접근 방식이 필요함을 시사하고 있습니다.

더 읽어보기

ArtPrompt 논문

Python용 ASCII Art 라이브러리

GPT가 추천하는 관련 논문들

Training language models to follow instructions with human feedback

LLM을 인간의 피드백으로부터 학습하여 안전하고 유용한 방식으로 지시를 따르게 하는 방법론을 제시합니다. ArtPrompt의 탈옥 공격이 LLM의 안전 조치를 우회하는 방식을 이해하기 위해, 이러한 모델들이 어떻게 안전성을 획득하고 유지하는지 알아보는 것이 중요합니다.

On the Dangers of Stochastic Parrots: Can Language Models be Too Big?

대규모 언어 모델의 윤리적, 사회적 위험을 탐구하며, 모델의 크기가 커질수록 이러한 위험이 증가한다는 점을 지적합니다. ArtPrompt와 같은 공격이 왜 문제가 되는지, 그리고 모델의 안전성을 강화하기 위해 어떤 고려사항이 필요한지 이해하는 데 도움을 줍니다.

Build it Break it Fix it for Dialogue Safety: Robustness from Adversarial Human Attack

대화형 시스템의 안전성을 향상시키기 위한 "Build-Break-Fix" 방법론을 소개합니다. 대화형 시스템이 인간의 적대적 공격에 어떻게 저항할 수 있는지에 대한 통찰력을 제공하며, ArtPrompt와 같은 탈옥 공격에 대한 모델의 취약성을 이해하고 대응하는 데 중요한 배경 지식을 제공합니다.

---

이 글은 GPT 모델로 정리한 것으로, 잘못된 부분이 있을 수 있으니 글 아래쪽의 원문도 함께 참고해주세요! 읽으시면서 어색하거나 잘못된 내용을 발견하시면 덧글로 알려주시기를 부탁드립니다.

파이토치 한국 사용자 모임이 정리한 이 글이 유용하셨나요? 회원으로 가입하시면 주요 글들을 이메일로 보내드립니다! (기본은 Weekly지만 Daily로 변경도 가능합니다.)

아래쪽에 좋아요를 눌러주시면 뉴스 발행에 힘이 됩니다~