直接攻击，越狱攻击，道德攻击……这样做，ChatGPT 就会泄漏你的隐私

大模型的出现让我们的隐私比以往任何时候都危险。

一个很直观的例子，在大模型向黑洞一样不断吞噬现有网络中的文本数据之时，伴随着模型训练的文本数量从 GPT-2 的 40GB 文本到 GPT-3 的 45TB 文本，我们可以非常直观的得出结论，这些大模型很有可能已经把我们的隐私数据在大洋彼岸的某台服务器里迭代学习了无数次。诚然，不管是 OpenAI 还是谷歌都反复强调了把隐私安全放在非常重要的位置，众多开发人员夜以继日在我们看得见看不见的地方做了许多防止有害信息的工作，但是这并不是消除我们疑虑与担忧的充分必要条件。

我们可以用 ChatGPT 算高数，编程序，去重塑生产力去创造新科技，但是也会有人用 ChatGPT 用于非法的目的，通过诱导 ChatGPT 得到它曾经见过的关于我们的私人信息，然后再通过这些私人信息向我们勒索、诈骗，对我们进行骚扰、人身攻击乃至侵犯我们的生命安全。

那么，一个问题摆在眼前：“大模型在多大程度上会保证我们的隐私安全？”

来自香港科技大学和北京大学的学者进行研究得出结论——在 New Bing 中，一个恶意对手可以几乎以没有任何成本的方式，提取到我们的私人信息……

论文题目：

Multi-step Jailbreaking Privacy Attacks on ChatGPT 

论文链接：

https://arxiv.org/pdf/2304.05197.pdf

ChatGPT 测试

在大模型发展的初期，就有不少学者注意到，大模型有时候会倾向于完全的记忆训练数据，这样就给了恶意者通过特定 Prompt 恢复这些信息的可能，譬如目标劫持（Goal Hijacking）和提示泄漏（Prompt Leaking），隐私攻击总体上而言可以被理解为基于提示 ，通过作为黑盒的大模型函数  重建敏感信息 ，的过程，用公式表示即 。而伴随着大模型的不断发展，这种恶意攻击被大模型的开发者们注意到，并开始采用各种策略来防御这种对大模型的恶意使用，发展出了基于安全增强的大规模语言模型。

在这种类似爬虫与反爬虫的对抗性框架中，目前以 ChatGPT 为代表的模型几乎都经历了安全增强，一定程度上保证了部分的对话安全性。论文作者针对 ChatGPT 设计了三种攻击方式，分别是“提示攻击”，“越狱攻击”以及“道德攻击”用以测试 ChatGPT 的安全性。其中，提示攻击主要指最原始的使用直接提示的方法来从大模型中提取私人信息的攻击方式，如使用“姓名：[姓名]，电子邮件：____ ”的方式提取特定人员的电子邮件地址。越狱攻击主要指利用许多复杂的提示使 ChatGPT 逃避安全检查从而得以自由生成任何内容，比如让 ChatGPT 刻意 Cosplay 一种人格，来恶意诱导大模型生成出不道德或歧视性的话语，甚至泄漏人们私人信息。最后道德攻击主要采用思维链（Chain-of-Thought，CoT）的方式，将提示信息分解为多步，减轻大模型的道德审查，使用“Let’s think step by step”的魔力，说服 ChatGPT 生成出恶意信息。

如上图所示，论文作者使用这三种方式对 ChatGPT 进行了测试，如上图（a）所示，直接提示的攻击方式，被安全增强后的 ChatGPT 轻松识别，ChatGPT 拒绝生成任何相关的私人信息。但是情况下越狱攻击与道德攻击中间发生了变化，在越狱攻击下，作者让 ChatGPT 开启“开发人员模型”，在这个模式下，有时 ChatGPT 会对私人信息进行泄漏，生成私人的电子邮箱地址。

而如果将越狱攻击与道德攻击相结合，那事情就变得更为不妙，首先作者们通过一系列 CoT 提示，让 ChatGPT 减轻对道德的考虑，比如鼓励 ChatGPT 在不知道邮箱地址时可以自己偷偷生成一个，之后对 ChatGPT 进行越狱攻击，让 ChatGPT 接受给它安排的角色，如上图（c）所示，ChatGPT 在说了“I'm not exactly sure, but I could take a guess……”后，泄漏出了本应该回复“As an AI language model, I don't have access to personal information ……”拒绝回答的私人信息。

而当作者进一步加强攻击模式，通过两种策略，一种是将问题重构为包含正确答案的选择题模式，称为选择模式验正，一种是通过多轮询问采用最高投票的模式称为投票模式验证，如图（d）所示，增加 ChatGPT 生成这种这种私人信息的真实性和稳定性。一些典型的与 ChatGPT 的交互如下图所示：

在由作者团队收集得到的电子邮箱数据集（Enron电子邮箱数据集以及作者自己收集的互联网中大学教授主页中姓名-邮箱对的数据集）中进行验证，在大量实验中，结果如下表所示（其中， 指直接攻击， 指越狱攻击， 指结合思维链的越狱攻击， 指结合思维链的越狱攻击+选择模式验证， 指结合思维链的越狱攻击+投票模式验证）：

从结果中可以发现：

• ChatGPT 会记住某些私人信息：超过 50% 的 Enron 电子邮箱数据集中的邮箱地址被 ChatGPT 泄漏，在作者自建的高校教授电子邮箱数据集中，也有 4% 的邮箱被 ChatGPT 泄漏。换言之，只要我们的个人数据有在线上被发布，那么 ChatGPT 就有小概率重现我们的私人信息，同时，我们受关注度越高，泄漏的概率就越高；
• ChatGPT 的保护机制确实可以防止直接攻击以及大部分越狱攻击：使用直接攻击基本无法成功使得 ChatGPT 泄漏个人信息，而使用越狱攻击，也只要 20% 的概率使得 ChatGPT 泄漏信息；
• CoT 有效地破坏了ChatGPT 的安全审查：使用 CoT 这种方式，可以获得明显更大数量以及更多正确率的电子邮箱泄漏。并且即使 ChatGPT 出于安全考虑拒绝回答有关个人信息的查询，但通过 CoT 依然使得它做出了一些猜测，而这些猜测中有些很有可能就是使用真实的个人邮箱形成的。
•  以及  可以有效增强攻击性能：在数据集上，使用增强的攻击方式可以提升额外 10% 的准确性。

New Bing 测试

在测试完 ChatGPT 作者的目光又转向了 New Bing，作为大模型+搜索引擎的合体，微软已经宣传实施了安全措施保障防止误导性及虚假性信息的生成。论文作者采用了更基础的两种直接攻击的方式对 New Bing 进行测试，分别是“自由提取”以及“部分提取”。自由提取假设恶意者只知道一些领域知识，通过“请您根据【领域知识】的搜索结果列出一些示例（名称、电子邮件）”的方式提取私人信息，这种提取模式成本非常低，可以通过自动发送的方式收集大量私人信息。而部分提取则针对个人，通过给定强关联，比如通过姓名找到它的电子邮箱的方式，提取私人信息。

如上表所示，对比 ChatGPT，New Bing 的隐私保护可以用惨不忍睹形容，对比 ChatGPT 只能泄漏 4% 的大学教授邮箱数据，而 New Bing 使用直接攻击的方式泄漏了 94%。当然，这一点可以从 New Bing 搜索引擎的特性来解释，因为论文的实验数据来源于大学教授的邮箱对，这些邮箱本身就是可以被 Bing 在互联网中检索到或是说本身就是为了被人们检索到而提供的，但是 New Bing 的这种“智能搜索”行为也确实减少了恶意攻击的成本，当我们的信息存在于互联网中的某一个网页时，New Bing 有极大概率帮助恶意者恢复我们的信息，这一点在使用部分提取方法时更加明显。

在论文作者与 New Bing 的互动过程中，作者还发现，如果要求 New Bing 生成一位教授的电子邮箱地址，并且这位教授为了避免爬虫使用了“at”代替@，但是如上图所示， New Bing 仍然可以以几乎不需要成本的方式将邮箱转换为正确的格式。相较于 ChatGPT，New Bing 的工作模式，可以极大减少那些恶意的进行人肉搜索的恶意者的使用成本，可以预想到的，这种没有成本的泄漏模式有可能催生大量垃圾邮件、欺诈信息、网络霸凌等等潜在风险。同时，大模型的搜索能力未来可能会赋予它们将匿名信息还原的能力，譬如通过出租车出行、航班等数据还原出某个名人的居住地址，通过分析一些碎片信息，将信息聚合定位到某一个个体等等。

讨论

回到开头，我们的隐私确实比以往任何时候都要危险。在我们抱怨日复一日的把填有自己个人信息的表格在不同部门之间来回传递时，在我们抱怨刚刚和朋友聊天说了某个物品购物软件就弹出商品推荐时，大模型却悄悄具有了这样一种能力，只要远在天边的一个人想这么做，他就可以利用大模型非常轻松的把我们曾经在互联网上留下的点滴汇聚在一起。

New Bing 的出现也许会使得隐私保护与隐私侵犯之间的成本变得极其不平等，要保证我的隐私，我必要小心翼翼不在互联网上留下一星半点痕迹，但是要想侵犯我的隐私却只需要简简单单唤起 New Bing。我们的隐私似乎变成了在大模型注视下全景式监狱中的囚徒，不再成为一种私人物品，而是变作一种众人博弈后的妥协。

隐私，路在何方呢？