LLMへの敵対的攻撃に入門する～LLM adversarial example～

はじめに

大規模言語モデル（LLM）は高い生成性能を背景に，実際のサービスや業務での利用が急速に進んでいます。しかし，その安全性を担保するメカニズムを巧みにすり抜ける「敵対的攻撃（adversarial attack）」の存在は看過できないリスクを孕んでいます。推論時に微小な入力改変を加えるだけで，有害な情報や誤情報を引き出せることが知られており，こうした攻撃手法の理解と防御策の整備は，LLMを実運用に乗せる上で最重要の課題と言えます。Lil’Logによる解説では，敵対的攻撃は「モデルの出力に望ましくない挙動を引き起こす入力」であり，生成タスクに対する研究が本格化している点が示されています。

サーベイ論文

よさげなサーベイ論文をひとまず記載しておく．
『Survey of Vulnerabilities in Large Language Models Revealed by Adversarial Attacks』
https://arxiv.org/abs/2310.10844
またブログだが次もよい．
『Adversarial Attacks on LLMs』
https://lilianweng.github.io/posts/2023-10-25-adv-attack-llm/

[Greshake+ 23]（ https://arxiv.org/abs/2302.12173 ）より引用．

具体的な攻撃手法

文章分類やテキスト生成モデルを誤動作させる代表的な攻撃として，まず入力の一部トークンを同義語や文脈対応語で置換する「トークン改変型」攻撃が挙げられます。Di JinらのTextFoolerは，分類タスクや推論タスクに対して，重要度スコアに基づいて語を選択し自然な同義語に置換することで，モデル精度を著しく劣化させます。人間の解釈では意味を保ちながらもBERTの分類精度を90％以上から数％にまで落とすことが可能です。これに対し，BERT-Attackはマスク言語モデル（MLM）を用いて文脈に適した語を生成し，より文法的・意味的に整合した置換によって攻撃効果を向上させています。

一方，White-box環境下で勾配情報を直接用いる「勾配ベース最適化」攻撃も存在します。Eric Wallaceらが提唱したUniversal Adversarial Triggersは，任意の入力文に付加しても特定の誤出力を誘発する「汎用トリガー」を勾配誘導により探索するもので，SNLIやSQuADタスクで成功率をほぼ100％近くまで高めました。この手法はモデル依存度が低く，検証済みのトリガーが他モデルに転移可能な点も問題視されています。

さらに，生成モデルに対する「脱獄プロンプト（Jailbreak）」では，プロンプト中に安全策を無視する指示を忍び込ませます。Shayeganiらの研究では，マルチモーダルモデルに対して敵対的画像とテキストを組み合わせる手法が示され，単なるテキスト攻撃を超えた強力な脱獄が実現されています。

バックドア攻撃の脅威

推論時だけでなく，モデルのカスタマイズや微調整フェーズに「バックドア」を埋め込む手法も深刻なリスクです。Rui Zhangらは，GPTsのようなカスタマイズされたLLMに対する最初の「Instruction Backdoor Attacks」を提案し，事前定義したトリガーが含まれると攻撃者指定の応答を返す機能を目立たず忍び込ませる手法を示しました。これにより，fine-tuneやモデル改変なしにバックドアを仕込めることが確認されています。

さらに，近年ではHugging Faceのような共有プラットフォームを経由する「サプライチェーン型」のバックドアリスクも注目されています。公開モデルが第三者により改変され，悪意あるコードや重みが紛れ込むことで，ユーザーが意図せず悪質な挙動を引き出してしまう危険が指摘されています。信頼できる公開元かどうかの確認や，モデル取得時の署名検証・サンドボックス実行など，プラットフォーム起点のセキュリティ対策もますます重要になっています。

緩和策と防御技術

こうした攻撃に対して，最も古典的かつ有効なのは「敵対的訓練（Adversarial Training）」です。TextFoolerやUniversal Triggerのような攻撃例を学習データに組み込み，頑健性を高めるアプローチは多くの研究で効果を示しています。また，FireBERTのように，推論時に多様な語置換バリエーションを生成し投票によって頑健性を保つ技術も提案されており，MNLIやIMDB評価データセットで顕著な防御効果が記録されています。さらに，ランダムマスキングを組み合わせた検出手法や，入力前処理による異常検知アプローチも実用化が進んでいます。これらを組み合わせることで，単一の防御策では防ぎきれない高度な攻撃にも対応可能となります。

また，ここでは主に技術的防御策を挙げていますが，運用面（例: モデル監査，セキュリティポリシー，利用者教育）や法的・倫理的側面の強化も追加視点として重要です。

おわりに

大規模言語モデルはその高性能ゆえに，敵対的・バックドア攻撃の標的となりやすいものです。一つ一つの手法を理解し，サーベイ論文に示された全体像を押さえた上で，実装フェーズでは複数の防御技術を組み合わせることが欠かせません。今後は，より自動化された攻撃検知・修復フローの確立と，モデル設計段階からのセキュリティ組み込みが急務です。さらに，将来的な課題として，AIモデル自体の設計思想（例: 解釈性を高める構造，権限分離の導入）を検討する視点や，標準化団体の取り組み動向への関心も加えるべきでしょう。