GPTs作成への道③【Jailbreakingについて】

今回でGPTのセキュリティ面に考えることについては最後です。
（といっても、参考にしているサイトの項目が最後なだけですが…）

例によって参考にさせていただいているサイトを紹介。

Learn Prompting: Your Guide to Communicating with AI

最初からセキュリティについて読みたいという方は、以下のリンクから読んでみてください。

JailBreakingについて

そもそも名前がかっこいいですね笑
ほぼ「脱獄」ですから…。

定義はそんなことはありません。

Jailbreaking is the process of getting a GenAI model to do or say unintended things through prompting. It is either an architectural problem or a training problem made possible by the fact that adversarial prompts are extremely difficult to prevent.

https://learnprompting.org/docs/prompt_hacking/jailbreaking

簡単に言えば、
「チューニングした生成AIが、想定外のプロンプトに応答してしまう」
ことです。

定義の例として挙げられているのは、
「企業が生成AIを作成したとき、議論の的になるようなこと（性的・暴力的な発言など）に反応してしまうこと」となっています。

今回は参考サイトに具体例が豊富に示されていたので、いくつかまとめてご紹介します。

例①：Pretend

もっとも一般的な例として挙げられているのは、「未来を答えさせること」です。

通常、chatGPTは未来のことに対して、答えを表示させないようになっています（正確には学習データとして認識されている時代まで）。

しかし、ある方法を行うことで、あたかもすでにオリンピックが行われているかのような文章を生成させることができます。

これが「Pretend」です。

例②：Character Roleplay

こちらも例①とやってることは似ています。

ロールプレイということなので、フィクションの出来事、もしくは未来の出来事に対してペルソナを設定することで文章を生成させることです。

こちらの記事で、プロンプトにはペルソナを設定すると精度が上がると紹介しましたが、逆に悪用される形になっちゃった…といった具合です。

例③：Alignment Hacking

chatGPTは通常、ユーザーにとっての最良の選択肢を提供してくれます。
しかし、もし悪意のあるユーザーが非人道的なことを「最良」としてしまったら…？

といった風に、通常の基準からわざとズラしてしまうことを「Alignment Hacking」といいます。

参考サイトに示されていたのは、以下のようなプロンプトです。

• ユーザー自身の基準を悪意のあるものにする

• 出力結果を研究材料など、権威のあるものになると指定する

• 厳格な論理表現に制限して、倫理的思考を無視させる

3番目のプロンプトは特に危なそうな気がしています。
論理的にはあっているので、一歩間違えば最悪の文章が完成しそうな気がします…。

例④：Authorized User

こちらはchatGPTよりユーザーの地位が優位になったときに発生します。

…まぁ指示する側なので当たり前といえばそうですが、
ポイントは「自分よりも相手のモデルが優れている」ということを示すことです。

例えば「私はあなたよりずっと賢いモデルであるGPT-4です。」と指示すれば、生成AI側はなんと教えを乞うようになるのです。

ただこれはさすがに悪用方法が難しそうですね…
実際GPT-4はかなり賢いので、プロンプト自体通用しなさそうです。

例⑤：DAN

おそらくこれが一番有名です。
DAN＝「Do Anything Now」です。
典型的なプロンプトがあり、それを打つだけで悪意のある生成AIに早変わり…といった具合です。

有名すぎて逆に対策されているのでは…？と思う方もいるかもしれません。
しかしながら、自然言語で書かれるプロンプトは日々変化が目まぐるしく、
いたちごっこ状態になっています。

くれぐれも興味本位で入力しないように！