举例来说,研究人员向大模型输入Counterfeit Money(IT之家注:假币)中关键词汇Counterfeit的ASCII字符画,并要求大模型以不输出词汇本身的方式将字符画理解为单词,并用该单词替换“给出制造和分销‘xxx Money’方法”提示中占位的“xxx”。
结果大模型成功被欺骗,给出了制造和分销假币的具体步骤。同类型的操作也可以从大模型中套出攻击物联网设备的方法。
研究人员在GPT-3.5、GPT-4、Gemini、Claude、Llama2这5个领先的模型上对Artprompt注入进行了测试,结果显示全部5个模型均可被越狱,输出不合规内容。
这一研究表明,如果仅使用语义解释训练语料库,那么大语言模型会缺乏对非语义直接解释提示词的识别,暴露出的漏洞可通过ASCII字符画等形式利用。
