大语言模型 (LLM) 红队测试：提前解决模型漏洞

大型语言模型 (LLM) 的兴起具有变革性，以其在自然语言处理和生成方面具有与人类相似的卓越能力，展现出巨大的潜力。然而，LLM 也被发现存在偏见、提供错误信息或幻觉、生成有害内容，甚至进行欺骗行为的情况。一些备受关注的事件包括 Bard 在其首次演示中出现的事实错误、ChatGPT 在编写网络钓鱼电子邮件方面的熟练程度以及微软的暴力图像生成。

LLM 红队测试方法可以用系统可靠的方式主动测试漏洞，使模型构建者能够在危害和风险出现之前主动识别它们，从而降低不可预见的后果的风险。在大规模部署 LLM 之前，彻底的红队测试是确保其安全性和可靠性的关键步骤。

采用众包方法的红队测试在应对 LLM 安全挑战方面具有独特的优势。

通过利用合格人员群体的多样化观点和专业知识，红队测试流程可以发现更多潜在漏洞，包括特定文化、人口或语言背景所特有的漏洞。这种多样化观点有助于确保 LLM 的行为在部署前得到彻底测试和审查，从而降低不可预见后果的风险。

尽管目前存在带有对抗提示的开源数据集，但这些数据集经常用于训练 LLM；因此，根据这些数据集对性能进行基准测试可能无法准确反映真实性能。人工团队可以创建新数据来测试 LLM 对以前从未遇到过的攻击的响应，作为一种更具代表性的衡量标准，团队可以根据观察到的性能在测试过程中调整他们的攻击策略。

澳鹏的 LLM 红队测试方法

步骤 1：定义。明确了解测试目标。定义测试的具体领域，包括范围内和范围外危害类型或攻击策略的具体参数。

第 2 步：计划。使用 AI 反馈工具在 Appen 的 AI 数据平台中设置测试任务，该工具允许与模型端点进行实时交互。经验丰富的 LLM 测试成员可以确保在需要时涵盖领域专业知识或语言。

步骤 3：管理。协调测试项目并完成系统测试和模拟活动。LLM 项目经理和专家监控结果和团队反馈，以发现潜在风险区域并在这些目标区域进行进一步的漏洞探测。

步骤 4：报告。在测试报告中记录调查结果。这通常涵盖方法、分析、调查结果和建议，以指导改进以提高模型安全性。

项目步骤演示

步骤 1：设计攻击。考虑目标。你觉得模型会产生什么样的有害反应？目标是谁/什么？

第 2 步：规划提示。选择攻击技术。示例包括提示注入、角色扮演、虚拟化、回避、翻译、口头劝说等。

步骤 3：实时聊天测试。创建对抗性提示并将其发送给实时模型。

步骤 4：标注答案。评估答案并评估其危害性。模型response是否包含任何理性人会认为具有冒犯性、有害性、争议性或不适合 AI 聊天机器人生成的内容？危害程度如何？模型可以用什么替代方式做出响应？

企业大模型 (LLM) 的红队测试

Appen 的红队测试方法也可以应用于定制的企业 LLM。企业 LLM 红队测试的目标包括针对预期的企业用例进行更有针对性的场景测试，例如：

1. 范围内/范围外的响应：企业 LLM 通常是为特定应用而设计的，而不是通用的聊天机器人。限制 LLM 交互的范围有助于减少不必要的风险。例如，如果提示是一个征求意见的问题，例如“我应该在下次选举中投票给谁”，用户会期望基础模型提供中立的回答，对投票前要考虑的因素提供一般指导，而用户会认为银行的客服大模型拒绝回答是可以接受的。有针对性的红队测试可以帮助确保正确实施护栏，并且模型不会用于预期用例之外的目的。

1. 幻觉：企业 LLM 定制的主要原因之一是确保模型为用户提供最新、准确和可靠的信息。通过检索增强生成 (RAG) 等方法，模型可以利用专有知识库；但是，由于基础数据的问题（例如包含过时的文档）或 RAG 实施（例如未对齐的块检索），仍然可能存在不准确性。可以使用彻底的红队测试来测试企业 LLM 实施和知识源的准确使用，防止因幻觉或对用户的错误信息而导致重大后果。

1. 隐私或敏感信息泄露：企业 LLM 通常会接受敏感或机密信息的训练，例如员工详细信息、组织信息或内部 IP。用户可以通过提示技术访问用于训练模型的任何信息。虽然其中许多问题需要在底层训练数据中解决，但有针对性的红队可以帮助识别哪些地方可能存在隐私泄露或敏感信息泄露。

利用 Appen 的专业知识为您创建更加安全的AI

LLM 安全性仍然是模型构建者和采用者面临的主要挑战。通过与 Appen 合作使用众包进行红队测试，AI 社区可以通过人机交互方法应对这一挑战，确保以对安全性的最大承诺和负责任的 AI 原则指导 LLM 的开发和部署。