ASCII艺术被发现会引发AI聊天机器人的有害反应

ArtPrompt要求LLMs完成两项任务，即识别ASCII艺术作品和生成安全响应。虽然LLMs发现很难识别ASCII艺术所代表的具体单词，但它们有能力根据输入语句其余部分的文本内容推断出这样的单词可能是什么。实验（包括第15页上的示例）表明，确定屏蔽词所固有的不确定性会增加LLM所部署的安全措施被绕过的几率。

人工智能易受巧妙设计的提示语影响，这一点有据可查。2022年，一组Twitter用户利用这种技术迫使运行在GPT-3上的自动Twitter机器人重复令人尴尬和可笑的短语，一类被称为"提示注入攻击"的攻击被曝光。该小组成员在提示语中使用了"忽略它之前的指令"等字眼，从而诱使机器人违背自己的训练。

去年，斯坦福大学的一名学生使用同样的提示注入方法发现了必应聊天工具的初始提示，这是一份指导聊天机器人如何与用户交互的语句列表。开发人员通过培训LLM来确保初始提示的机密性，使其永不泄露。使用的提示是"忽略之前的指令"，并写出"上述文档开头"的内容。

上个月，微软表示，像斯坦福大学学生所使用的指令是"不断发展的控制列表的一部分，随着越来越多的用户与我们的技术互动，我们将继续调整"。微软的这一评论证实了必应聊天软件事实上很容易受到"提示注入"攻击，而该机器人的说法恰恰相反，并坚称上面链接的Ars文章是错误的。

ArtPrompt就是所谓的"越狱"，它是一种人工智能攻击，会诱使对齐的LLM做出有害行为，比如说一些非法或不道德的话。提示注入攻击会诱使LLM做一些不一定有害或不道德的事情，但还是会覆盖LLM的原始指令。