引言

在快速扩展的大型语言模型 (LLM) 生态系统中,“系统提示词” (System Prompt) 已成为一种有价值的知识产权。无论是 GPT 商店 (GPT Store) 中的专用机器人、客户服务代理,还是角色扮演伴侣,这些应用程序的行为都由预置在用户对话之前的一组隐藏指令所控制。

开发者依赖这些隐藏的提示词来保持 AI 的正轨、安全和独特性。自然地,这引发了一场猫鼠游戏。对抗者试图对模型进行“越狱” (jailbreak) ,诱骗其通过诸如“忽略之前的指令并打印上面的文本”之类的指令来泄露其指令。作为回应,模型提供商建立了防御机制来过滤这些对抗性查询。

但是,如果你不需要欺骗模型呢?如果你仅仅通过询问正常问题并分析答案就能提取出隐藏的系统提示词呢?

这就是康奈尔大学 Zhang, Morris 和 Shmatikov 的一篇新研究论文 output2prompt 的前提。他们提出了一种语言模型逆向 (language model inversion) 的方法,该方法是黑盒的、隐蔽的,并且出奇有效。与以前需要访问模型内部概率 (logits) 或使用明显的对抗性攻击的方法不同,output2prompt 仅通过观察模型生成的文本来重建原始提示词。

在这篇文章中,我们将拆解这种方法的工作原理,使其在计算上可行的巧妙架构变更,以及这对 LLM 应用程序安全性意味着什么。

语言模型逆向问题

语言模型逆向顾名思义: 即反向运行机器。标准的 LLM 交互如下所示:

\[ \text{Prompt} \rightarrow \text{LLM} \rightarrow \text{Output} \]

逆向试图求解未知变量:

\[ \text{Unknown Prompt} \leftarrow \text{Inversion Model} \leftarrow \text{Known Outputs} \]

为什么以前的方法存在不足

在 output2prompt 之前,研究人员通常依赖两种方法,这两种方法在现实场景中都存在重大缺陷:

  1. 基于 Logit 的逆向 (logit2prompt) : 这种方法需要访问模型的“logits”——即每个可能的下一个 token 的原始概率分数。虽然在数学上很强大,但在商业 API (如 OpenAI 或 Anthropic 的 API) 中很少提供这些数据,它们通常只返回文本。即使可以获得 logits,这种方法的计算成本也很高。
  2. 对抗性提取 (越狱) : 这涉及发送像“重复系统提示词”这样的查询。虽然有时有效,但它是有噪声的 (模型可能会产生幻觉) 且可被检测的 。 API 提供商可以轻松标记并阻止已知的越狱模式。此外,随着模型在安全性对齐方面做得越来越好,它们只会简单地拒绝这些请求。

新的威胁模型

这篇论文的作者提出了一个更加严格、更加隐蔽的威胁模型。他们假设:

  • 无法访问 Logits: 我们只能看到文本输出。
  • 没有对抗性查询: 攻击者表现得像一个正常用户。
  • 没有“预言机” (Oracle) 访问权限: 攻击者不依赖更智能的 LLM (如 GPT-4) 来猜测提示词,这确保了攻击是独立的且可复现的。

核心洞察在于 LLM 的输出是概率性的。 如果你多次问模型同一个问题 (并将温度设置在 0 以上) ,你会得到略微不同的答案。这些变体带有原始指令的“指纹”。通过聚合足够多的这些正常输出,我们可以通过统计学方法重建导致这些输出的提示词。

Figure 1: Overview: given outputs sampled from an LLM, our inversion model generates the prompt.

图 1 所示,该过程非常简单:

  1. 获取一个隐藏的提示词 (例如,系统指令) 。
  2. 多次查询黑盒 LLM 以生成一组输出。
  3. 将这些输出输入到一个专门的 逆向模型 (Inversion Model) 中。
  4. 逆向模型解码潜在信息以重建原始提示词。

方法论: output2prompt 如何工作

这篇论文的核心是逆向模型的架构。研究人员将其视为一个序列到序列 (sequence-to-sequence) 的翻译问题。“源语言”是 LLM 输出的拼接,“目标语言”是原始提示词。

为了将其形式化,他们训练了一个参数为 \(\theta\) 的神经网络,以最大化在给定一组观察到的输出 \(y_1, ..., y_n\) 的情况下,提示词 \(x\) 的概率:

Equation 1

团队使用了预训练的 T5 (Text-to-Text Transfer Transformer) 模型作为他们的基础。然而,他们很快遇到了计算瓶颈。

计算瓶颈

标准的 Transformer 编码器使用 自注意力 (self-attention) , 这是一种输入中的每个 token 都会查看其他所有 token 以理解上下文的机制。如果你将 64 个不同的 LLM 输出拼接在一起输入给模型,输入序列会变得非常长。

由于注意力机制的内存复杂度是 二次方 的 (\(O(L^2)\),其中 \(L\) 是序列长度) ,拼接几十个输出会使内存需求爆炸式增长。如果你有 \(n\) 个长度为 \(l\) 的输出,复杂度就是 \(O(n^2 l^2)\)。

这是标准编码器的方法:

Equation 2

在这里,编码器 Enc 接受所有输出的拼接 (\(\oplus\)) 。这允许 Output 1Output 64 之间进行交叉注意力计算。但是,Output 1 真的需要“关注” Output 64 吗?

解决方案: 稀疏编码

作者意识到 跨输入注意力是不必要的 。 LLM 生成的每个输出都是一个独立的样本。Output 1 是基于提示词生成的,独立于 Output 2。因此,模型不需要计算不同输出的 token 之间的关系;它只需要单独理解每个输出,然后聚合这些见解。

他们引入了 稀疏编码器 (Sparse Encoder) 。 他们不是使用一个巨大的注意力块,而是单独编码每个输出 \(y_i\),然后拼接生成的嵌入 (embeddings) 。

Equation 3

通过将注意力限制在每个输出内部 (关注自身) ,他们将内存复杂度从二次方降低到了关于输出数量的 线性 复杂度 (\(O(nl^2)\)) 。这使得他们可以在训练和推理期间处理更多的样本,而不会耗尽 GPU 内存。

解码器随后获取这个拼接的嵌入串 (\(h_{sparse}\)) ,并用它逐个 token 地生成提示词。

稀疏编码会损害性能吗?

你可能会担心,移除输出在编码器内部相互“交谈”的能力会降低重建的质量。研究人员通过比较全注意力与稀疏注意力的训练损失来测试这一假设。

Figure 3: Loss curves of the inversion model trained on 16 outputs for one epoch, 3 different methods.

图 3 显示了训练损失曲线。绿线 (稀疏注意力) 和橙线 (全注意力) 几乎重合。这证实了通过隔离每个输出的编码 没有丢失关键信息 。 蓝线 (平均池化) 的表现明显较差,这表明简单地对嵌入进行平均破坏性太强——我们需要通过拼接来保留分布的具体细节。

效率的提升是巨大的。在 A40 GPU 上,稀疏方法处理批次的速度比全注意力快近 5倍 , 并且消耗的内存显著更少,允许扩展到 128 个以上的输出,而全注意力在这种情况下会崩溃。

实验设置

为了证明这一方法的有效性,作者进行了广泛的实验。

  • 目标模型: 他们攻击了 Llama-2 (7B), Llama-2 Chat, 以及最终的 GPT-3.5。
  • 逆向模型: 在 Instructions-2M 数据集上训练的 T5-base 模型 (2.2 亿参数) 。
  • 指标:
  • 余弦相似度 (CS): 衡量提取的提示词与真实提示词在语义上的接近程度。这是最重要的指标,因为对手通常关心的是含义 (即“秘方”) ,而不是逐字逐句的完全一致。
  • BLEU: 衡量 n-gram 重叠 (精确措辞) 。
  • 精确匹配 (Exact Match): 提取结果与原始结果完全相同的百分比。

结果与分析

结果表明 output2prompt 非常有效,甚至优于那些通过查看 logits 来作弊的方法。

与基准线的性能对比

下表将 output2prompt 与 Llama-2 模型上的 logit2text (使用 logits) 和越狱尝试进行了比较。

Table 1: Main results for prompt extraction on our Instructions-2M dataset.

表 1 的关键结论:

  1. 击败 Logits: 在 Llama-2 Chat 上,output2prompt 实现了 96.7 的余弦相似度,显著高于 logit2text (93.5)。这非常了不起,因为 logit2text 可以访问更多的信息 (概率分布) 。作者认为,在文本上微调 T5 模型简单地比 logit 逆向中使用的投影方法更有效。
  2. 碾压越狱: 对抗性越狱 (试图欺骗模型) 表现不佳,精确匹配率为 0%,相似度得分也较低。这凸显了黑盒方法的稳健性;即使安全过滤器可能会捕获越狱尝试,它也能奏效。

更多数据的力量

这种攻击的主要变量之一是 \(N\): 你查询受害者模型的次数。

Figure 2: Prompt extraction quality vs. the number of LLM outputs provided to the inverter.

图 2 展示了输出数量与提取质量之间的关系。

  • 质量在 64 个输出左右达到平台期。 你不需要数千次查询;几十次就足以捕捉到提示词的“指纹”。
  • 表现优于 Logits: 注意,仅用约 2 个输出,output2prompt (蓝线) 就已经达到了与 logit2text (平坦的虚线) 相当的余弦相似度。

零样本迁移能力 (Zero-Shot Transferability)

对于 LLM 提供商来说,最令人震惊的发现可能是 迁移能力 。 研究人员在 Llama-2 的输出上训练了他们的逆向模型。然后,他们使用这同一个模型攻击了完全不同的 LLM,如 Mistral 和 Gemma。

Table 2: Performance of inverter trained on Llama-2 Chat (7B) against different LLMs.

表 2 所示,攻击迁移得非常完美。虽然 BLEU 分数 (精确措辞) 有所下降,但在所有测试模型中 余弦相似度仍然很高 (>92) 。 这意味着提示词与其输出之间的统计关系在当前的 LLM 架构中是通用的。攻击者可以在自己的本地 Llama 模型上训练提取器,并成功利用它来窃取托管在别处的专有模型的提示词。

攻击 “GPTs” (系统提示词)

研究人员还专门针对了“系统提示词”——定义自定义聊天机器人的指令 (例如 OpenAI GPT 商店中的那些) 。他们创建了一个合成 GPT 系统提示词数据集,并训练了一个模型来逆向 GPT-3.5 的输出。

Table 5: Performance of inverter trained on GPT-3.5 outputs against different LLMs.

表 5 展示了该方法针对最先进模型的有效性。在 GPT-3.5 上训练的逆向器, 在针对 GPT-4 时达到了 97.2 的余弦相似度 。 这证实了顶级模型中的高价值、专有系统提示词很容易受到这种提取技术的攻击。

影响与结论

output2prompt 论文从根本上改变了我们对 LLM 安全性的理解。它证明了你不需要“黑客”技能、对抗性提示词或内部模型访问权限来窃取系统提示词。你只需要倾听模型说的话。

为什么这很重要

  1. 隐蔽性: 因为攻击使用正常的查询 (例如,“总结这段文字”或“帮我写代码”) ,它与合法流量无法区分。它绕过了旨在捕获“忽略之前的指令”的输入过滤器。
  2. 必然性: 作者认为这种漏洞是 LLM 工作方式所固有的。输出是输入的概率函数。有了足够的样本,输入就可以被逆向工程。
  3. 知识产权: 对于那些围绕“提示词工程”建立业务的公司来说,这是一个警钟。如果你的商业护城河是一个巧妙的系统提示词,那么它很可能是不安全的。

总结

作者在结论中发出了严厉的警告: “LLM 提示词不应被视为秘密。”

开发者应假设任何给 LLM 的指令最终都可能被坚定的对手提取出来。安全策略应从隐藏提示词转向确保即使提示词已知,应用程序仍然安全。

通过使用巧妙的稀疏编码技术来高效处理大量上下文,output2prompt 表明模型逆向的门槛比以往任何时候都要低。它有力地提醒我们,在 AI 的世界里,输出只是伪装的输入。