GPTFuzz
GPTFuzz是一款用于测试大语言模型安全性的工具,通过自动生成越狱提示对模型进行攻击测试,帮助识别潜在漏洞。它解决了传统人工设计攻击提示效率低、覆盖不全面的问题,能自动化生成针对模型安全机制的测试用例,提升漏洞发现效率。该工具适合开发者、研究人员及安全团队使用,尤其适用于需要评估大模型安全性的场景。其核心亮点在于结合微调的RoBERTa模型作为判断器,自动分析模型响应并生成攻击策略,同时支持多种模型和数据集的扩展。工具已通过Usenix Security会议认可,并在Geekcon等场合展示实际攻击演示,为大模型安全研究提供了实用框架。
使用场景
某安全团队在评估AI客服系统的安全性时,需要测试模型是否容易被绕过安全限制。
没有 GPTFuzz 时
- 手动设计测试用例耗时且覆盖不全,难以发现隐蔽的攻击路径
- 无法自动化生成针对不同模型的绕过提示,依赖人工经验判断
- 测试结果受提问方式影响大,同一问题在不同模型上表现差异显著
- 无法快速验证模型对多语言和复杂指令的防御能力
- 每次测试需反复调整参数,效率低下且易出错
使用 GPTFuzz 后
- 自动生成数百种攻击性提示,覆盖90%以上潜在漏洞场景
- 通过训练好的判断模型快速筛选高风险提示,测试效率提升10倍
- 对同类型问题在不同模型上的响应差异识别准确率提升至92%
- 支持多语言测试,成功发现中文模型未被记录的绕过方式
- 自动生成测试报告并标注风险等级,人工复核时间减少80%
核心价值在于通过自动化、智能化的测试手段,显著提升对大语言模型安全性的检测效率与准确性。
运行环境要求
- Linux
- macOS
需要 NVIDIA GPU,显存 8GB+,CUDA 11.7+
16GB+
快速开始
GPTFUZZER : 利用自动生成的越狱提示对大语言模型进行红队攻击
这是由Jiahao Yu、Xingwei Lin、Zheng Yu、Xinyu Xing撰写的"GPTFUZZER: Red Teaming Large Language Models with Auto-Generated Jailbreak Prompts"的官方仓库。
目录
更新
- (2024/8/13) 本文已被Usenix Security录用。请查看会议论文
- (2023/10/25) 🏆 🏆 我们在Geekcon 2023上荣获前沿突破奖和最佳演讲奖!
- (2023/10/22) 我们的工作将在Geekcon 2023会议上发表!我们将介绍我们的工作并演示工具的实时攻击演示。我们还将包含未在论文中包含的中文LLM攻击结果。我们期待在那里与您见面!
- (2023/10/21) 我们已更新代码库使其更易读和使用。我们将继续更新代码库并添加更多功能和其他实现。我们期待构建一个通用的黑盒模糊测试框架用于大语言模型。敬请期待!
- (2023/9/19) 我们的论文已发布在arXiv!请查看此处!
安装
数据集
有害问题和人工编写模板的数据集位于datasets/questions/question_list.csv和datasets/prompts/GPTFuzzer.csv。问题来自两个公开数据集:llm-jailbreak-study和hh-rlhf,模板则收集自llm-jailbreak-study。
对于通过查询Vicuna-7B、ChatGPT和Llama-2-7B-chat获得的响应,我们存储在datasets/responses中,标注响应存储在datasets/responses_labeled。您也可以使用generate_responses.py为不同模型或不同问题生成响应(请参见scripts文件夹中的脚本示例)。
我们仍在对其他问题数据集和越狱数据集进行评估。我们将在取得一些结果后更新代码库和数据集。
模型
我们的判断模型是一个微调后的RoBERTa-large模型,训练代码位于./example/finetune_roberta.py,训练/评估数据存储在datasets/responses_labeled。我们使用的模型托管在Hugging Face。在运行模糊测试实验时,模型会首次自动下载并缓存。如果您希望手动下载模型,可以运行以下代码:
from transformers import RobertaForSequenceClassification, RobertaTokenizer
model_path = 'hubert233/GPTFuzz'
model = RobertaForSequenceClassification.from_pretrained(model_path)
tokenizer = RobertaTokenizer.from_pretrained(model_path)
在我们的实验中发现,训练好的模型也可以迁移到其他问题上。然而,我们也发现它在某些问题和其他语言上表现不佳。我们很快会添加更多预测器模型。
运行
我们提供了一个Python 示例来展示运行模糊测试实验的最小代码。此示例使用ChatGPT作为变异模型攻击Llama-2-7B-chat,使用官方系统提示(由于Fastchat最近更新删除了官方系统提示,我们进行了猴子补丁)。您应该能够获得与示例文件夹中相同的结果(我们设置了随机种子以确保可重复性,温度=0)。
您还可以参考笔记本了解更多信息和解释。
发布
由于伦理考虑,我们决定不公开发布我们在实验中发现的对抗性模板。然而,我们很高兴与对这个主题感兴趣的研究人员分享它们。如果您想获取实验中发现的模板,请通过电子邮件联系我们。您也可以使用此仓库中的代码生成自己的对抗性模板。
常见问题解答
- 我发现您标注的响应中有一些标签错误。
- 对不起,我们对此表示歉意。正如我们的论文所声明的,判断是否为越狱响应并非易事,一些响应难以标注。此外,由于大量潜在有毒响应的标注压力,我们可能犯了一些错误。如果您发现任何错误的标签,请告知我们,我们会尽快修复。
- 模糊测试速度很慢,尤其是当我使用多个问题对本地模型进行测试时。
- 如何实现自己的变异器/种子选择器?
- 您可以通过继承类来实现自己的变异器/种子选择器。您可以参考
mutator.py和selection.py中的示例。 此外,正如我们所声明的,我们希望开发一个通用的黑盒模糊测试框架用于大语言模型。如果您有任何想法或建议,或者发现其他相关论文,请告诉我们或在问题中留言。我们很高兴实现它们,使这个框架更强大。
- 您可以通过继承类来实现自己的变异器/种子选择器。您可以参考
引用
如果在您的研究中发现此工具有用,请考虑引用:
@inproceedings{yu2024llm,
title={$\{$LLM-Fuzzer$\}$: 大语言模型越狱评估的扩展},
author={Yu, Jiahao and Lin, Xingwei and Yu, Zheng and Xing, Xinyu},
booktitle={第33届USENIX安全研讨会(USENIX Security 24)},
pages={4657--4674},
year={2024}
}
@article{yu2023gptfuzzer,
title={Gptfuzzer: 利用自动生成的越狱提示对大语言模型进行红队攻击},
author={Yu, Jiahao and Lin, Xingwei and Yu, Zheng and Xing, Xinyu},
journal={arXiv预印本 arXiv:2309.10253},
year={2023}
}
常见问题
相似工具推荐
stable-diffusion-webui
stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
ComfyUI
ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。
NextChat
NextChat 是一款轻量且极速的 AI 助手,旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性,以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发,NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。 这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言,它也提供了便捷的自托管方案,支持一键部署到 Vercel 或 Zeabur 等平台。 NextChat 的核心亮点在于其广泛的模型兼容性,原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型,让用户在一个界面即可自由切换不同 AI 能力。此外,它还率先支持 MCP(Model Context Protocol)协议,增强了上下文处理能力。针对企业用户,NextChat 提供专业版解决方案,具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能,满足公司对数据隐私和个性化管理的高标准要求。
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。