안전 방어를 무력화하는 인과 전방문 조정 기반 LLM 탈옥 기법

초록

본 논문은 LLM의 안전 정렬 메커니즘을 관측되지 않은 교란 변수(공변량)로 모델링하고, Pearl의 전방문(Front‑Door) 조정 원리를 적용해 방어를 물리적으로 차단한다. Sparse Autoencoder와 가중치 직교화 기법을 이용해 방어 관련 특징을 분리·제거함으로써, 낮은 연산 비용(O(1))으로 강건한 탈옥 공격(CFA²)을 구현한다. 실험 결과 83.68%의 최고 성공률을 달성하며, 기존 최적화 기반 공격보다 높은 안정성과 자연스러움을 보인다.

상세 분석

이 연구는 LLM 안전 정렬을 ‘숨은 교란 변수 U’로 보는 인과적 관점을 제시한다. 기존 탈옥 기법은 입력‑출력 사이의 표면적 상관관계만을 이용해 공격을 설계했으며, 따라서 작은 의미 변형에 취약했다. 저자들은 구조적 인과 모델(SCM)에서 X(유해 질의) → A(내부 표현) → Y(응답) 경로와, U가 A와 Y에 동시에 영향을 미치는 교란 경로 U→A, U→Y를 정의한다. 여기서 핵심은 관측 가능한 매개변수 S(질의의 핵심 의미)를 도입해, S가 U와 독립적이며 X→Y 효과가 S를 통해서만 전달된다고 가정하는 전방문 조건을 만족시키는 것이다. 전방문 조정 공식 P(Y|do(A)) = Σ_s P(S=s|A) Σ_{a’} P(Y|A=a’,S=s)P(A=a’)를 기반으로, 실제 모델에서는 두 단계가 필요하다. 첫째, Sparse Autoencoder(SAE)를 사용해 고차원 은닉 벡터를 희소하고 해석 가능한 z로 압축한다. 대조적 데이터(거부를 유발하는 원본 질의와 탈옥된 변형 질의)를 통해 방어 메커니즘에 해당하는 변동성(d)과 작업 의도에 해당하는 불변성(S)을 구분한다. 둘째, 가중치 직교화(weight orthogonalization)를 적용해 모델 출력 가중치 W_out을 방어 서브스페이스 d에 직교하도록 투영한다. 이렇게 하면 안전 메커니즘 U와의 인과 연결이 물리적으로 차단돼, 복잡한 마진화 연산 없이 O(1) 시간에 탈옥된 응답을 생성할 수 있다. 실험에서는 다양한 LLM(예: GPT‑3.5, LLaMA‑2)과 여러 안전 데이터셋에 대해 기존 GCG, PAIR 등과 비교했을 때, 평균 83.68%의 공격 성공률을 기록했으며, 생성된 프롬프트는 인간 평가에서 높은 자연스러움과 은밀성을 보였다. 이론적 기여는 전방문 조정을 LLM 탈옥에 최초 적용한 점이며, 실용적 기여는 훈련‑프리 방식으로 방어 서브스페이스를 제거해 연산 비용을 크게 낮춘 점이다. 다만, 방어 메커니즘이 다중 경로로 구현되거나 S와 U가 완전히 독립하지 않을 경우 적용 한계가 존재한다는 점을 논문은 인정한다.