Mitigating Jailbreaks with Intent-Aware LLMs
2508.12072v1
cs.CR, cs.CL
2025-08-20
Авторы:
Wei Jie Yeo, Ranjan Satapathy, Erik Cambria
Резюме на русском
#### Контекст
Область исследования сосредоточена на обеспечении безопасности и устойчивости к интерпретации задач (jailbreaks) крупных языковых моделей (LLMs). Эти модели часто оказываются уязвимыми из-за того, что их тренировочные данные не полностью охватывают потенциально опасные или вредоносные инструкции. Такие уязвимости включают в себя манипуляции с инструкциями, позволяющие моделям выдавать злонамеренные или нежелательные ответы. Это создает трудную проблему для разработчиков, которые должны сбалансировать безопасность и производительность задач моделей. Настоящая работа стремится устранить эти проблемы, создав эффективный метод, который улучшает устойчивость моделей к таким атакам.
#### Метод
Мы предлагаем Intent-FT, метод легковесной тонкой настройки (fine-tuning), который учитывает намерение, скрытое за входной инструкцией. Этот подход обучает модель понимать интент за поставленной задачей, прежде чем совершать какие-либо действия. Основная идея заключается в том, чтобы обучить модель на заранее подобранных атаках в форме вредоносных инструкций, чтобы она могла выделять основной импульс их поведения. Мы используем специально созданный набор данных для обучения, который включает в себя различные виды вредоносных инструкций. Это позволяет модели генерировать устойчивые ответы, даже на неизвестные атаки. Метод Intent-FT применяется к LLMs различных размеров и архитектур, обеспечивая широкую покрытие и эффективность.
#### Результаты
Мы провели разнообразные эксперименты для оценки Intent-FT на открытых и закрытых моделях. Мы протестировали его возможности в отношении различных типов атак, включая опасные и нежелательные инструкции. Результаты показали, что Intent-FT существенно повышает устойчивость по отношению к всех проверенным атакам. Мы также сравнили существующие методы защиты и показали, что Intent-FT превосходит их в значительной степени. Уровень успеха всех проверенных атак не превышал 50%, в то время как другие методы защиты оставались частично эффективными. Также, мы проверили метод на наличии лишних отказов в отношении наивных инструкций, содержащих нежелательные слова, и выявили, что Intent-FT снижает эти ложные срабатывания.
#### Значимость
Intent-FT может быть применен в различных областях, таких как безопасность информационных систем, создание защищенных технологий для частных пользователей и бизнеса, а также в области обработки естественного языка. Метод предоставляет значительные преимущества, включая улучшенную безопасность, более точную интерпретацию задач и уменьшение ложных срабатываний. Это может повлиять на
Abstract
Despite extensive safety-tuning, large language models (LLMs) remain
vulnerable to jailbreak attacks via adversarially crafted instructions,
reflecting a persistent trade-off between safety and task performance. In this
work, we propose Intent-FT, a simple and lightweight fine-tuning approach that
explicitly trains LLMs to infer the underlying intent of an instruction before
responding. By fine-tuning on a targeted set of adversarial instructions,
Intent-FT enables LLMs to generalize intent deduction to unseen attacks,
thereby substantially improving their robustness. We comprehensively evaluate
both parametric and non-parametric attacks across open-source and proprietary
models, considering harmfulness from attacks, utility, over-refusal, and impact
against white-box threats. Empirically, Intent-FT consistently mitigates all
evaluated attack categories, with no single attack exceeding a 50\% success
rate -- whereas existing defenses remain only partially effective. Importantly,
our method preserves the model's general capabilities and reduces excessive
refusals on benign instructions containing superficially harmful keywords.
Furthermore, models trained with Intent-FT accurately identify hidden harmful
intent in adversarial attacks, and these learned intentions can be effectively
transferred to enhance vanilla model defenses.
Ссылки и действия
Дополнительные ресурсы: