Komunikaty systemu bezpieczeństwa

W tym artykule zaleca się struktury i przykłady pisania skutecznych komunikatów systemowych, aby kierować zachowaniem modeli sztucznej inteligencji, poprawiać jakość i dokładność danych wyjściowych oraz ograniczać szkody. Oprócz innych technik ograniczania ryzyka komunikaty systemowe zapewniają bardziej precyzyjny sposób określania bezpiecznych danych wyjściowych.

Uwaga

Komunikat systemowy jest używany zamiennie z "metaprompt" i "monit systemowy". W tym miejscu używamy "komunikatu systemowego", aby dostosować je do taksonomii i standardów branżowych.

Ponadto używamy terminu "component" — składnik jest odrębną częścią, która przyczynia się do ogólnej struktury i funkcji komunikatu systemowego. Przykłady obejmują instrukcje, kontekst, ton, wytyczne dotyczące bezpieczeństwa i narzędzia.

Co to jest komunikat systemowy?

Komunikat systemowy to specyficzny dla funkcji zestaw instrukcji lub kontekstowych struktur przekazanych do generowania modelu sztucznej inteligencji (na przykład GPT4-o, GPT3.5 Turbo itp.) w celu kierowania i poprawy jakości i bezpieczeństwa danych wyjściowych modelu. Jest to pomocne w sytuacjach wymagających pewnych stopni formalności, języka technicznego lub terminów specyficznych dla branży.

Nie ma określonej długości. Komunikat systemowy może być jednym krótkim zdaniem:

You are a helpful AI assistant.

Komunikat systemowy może być również długi wiele wierszy, zawierający szczegółowe reguły, szczegółowy kontekst, wytyczne dotyczące formatowania i danych wyjściowych oraz środki zaradcze dotyczące odpowiedzialnej sztucznej inteligencji (RAI).

Przykłady komunikatów systemu bezpieczeństwa

Komunikaty systemu bezpieczeństwa to rodzaj komunikatu systemowego, który zawiera wyraźne instrukcje w celu ograniczenia potencjalnych szkód RAI i systemów prowadzących do bezpiecznej interakcji z użytkownikami. Komunikaty systemu bezpieczeństwa uzupełniają stos bezpieczeństwa i mogą być dodawane wraz z trenowaniem modelu podstawowego, uziemieniami danych, klasyfikatorami bezpieczeństwa zawartości usługi Azure AI i interwencjami środowiska użytkownika/interfejsu użytkownika. Dowiedz się więcej o praktykach dotyczących odpowiedzialnej sztucznej inteligencji dla modeli usługi Azure OpenAI.

Chociaż ta technika jest skuteczna, nadal jest fallible, a większość komunikatów systemu bezpieczeństwa musi być używana w połączeniu z innymi środki zaradcze.

Najlepsze rozwiązania dotyczące tworzenia krok po kroku

Aby opracować składnik komunikatu systemu lub komunikatu systemu bezpieczeństwa, zalecamy wykonanie następujących kroków:

1/ Definiowanie scenariusza

Definiowanie profilu, możliwości i ograniczeń modelu dla danego scenariusza

• Zdefiniuj określone zadania, które mają być ukończone przez model. Kim są użytkownicy? Jakiego typu dane wejściowe będą dostarczać? Co model powinien zrobić z tymi danymi wejściowymi? Czy istnieją konkretne modalne/modalności, które mają zastosowanie?
• Rozważ typ modelu. Określ, jakiego typu modelu należy używać na podstawie użycia (na przykład wielomodalnego vs LLM itp.), który może odzwierciedlać zagadnienia dotyczące modelu dla systemu (takie jak wydajność, koszt, ryzyko itp.) i ocenić, czy typ modelu wpływa na komunikat systemu.
• Zdefiniuj sposób wykonywania zadań przez model. Jeśli ma to zastosowanie, może to obejmować inne narzędzia (takie jak interfejsy API, kod, wtyczki itp.), których powinien używać model.
• Zdefiniuj zakres i ograniczenia wydajności modelu. Podaj jasne instrukcje dotyczące reagowania modelu w przypadku wystąpienia wszelkich ograniczeń. Na przykład zdefiniuj sposób, w jaki model powinien odpowiadać, jeśli zostanie wyświetlony monit dotyczący tematów lub użycia poza tym, co ma zrobić system.
• Zdefiniuj ton , który powinien być pokazywany w odpowiedziach modelu.

Oto kilka przykładów wierszy, które można uwzględnić:

## Define model’s profile and general capabilities  

- Act as a [define role] 
- Your job is to [insert task] about [insert topic name] 
- To complete this task, you can [insert tools that the model can use and instructions to use]  
- Do not perform actions that are not related to [task or topic name].  

• Podaj konkretne przykłady , aby zademonstrować zamierzone zachowanie modelu. Rozważ następujące kwestie:
  • Opisz trudne przypadki użycia, w których monit jest niejednoznaczny lub skomplikowany, aby nadać modelowi przykład sposobu podejścia do takich przypadków.
  • Pokaż potencjalny łańcuch rozumowania , aby lepiej poinformować model o krokach, które należy podjąć w celu osiągnięcia pożądanych wyników.

2/ Definiowanie potencjalnych zagrożeń

Na podstawie przypadku użycia i modalności określ potencjalne zagrożenia, rozważ ogólną strategię ograniczania ryzyka systemu i na koniec zdecyduj, jakie czynniki ryzyka zostaną rozwiązane za pośrednictwem komunikatów systemowych.

3/ Konspekt ogólnej strategii ograniczania ryzyka

Określ, które techniki ograniczania szkód i warstwy będą używane. Następnie zdefiniuj strategię, że komunikaty systemowe powinny być odtwarzane w stosie bezpieczeństwa i jak uzupełniają inne środki zaradcze.

4/ Zbieranie lub tworzenie początkowych składników systemu i systemu bezpieczeństwa

Powinny one być oparte na badaniach, wynikach red-teaming, opinii klientów tam, gdzie ma to zastosowanie, oraz przeglądaniu i wyodrębnieniu podobnych wzorców z podobnych ocen i komunikatów systemowych.

5/ Tworzenie niezawodnego zestawu danych

Twórz zestawy danych i zbieraj przykładowe monity użytkownika o przetestowanie. Zestawy danych powinny zawierać rozkład zarówno niepożądanych, jak i łagodnych przykładów w celu określenia poziomu moderowania (znanego również jako wyciek) i regresji w składnikach kandydata. Upewnij się, że zestaw danych jest specyficzny dla testujących szkód, aby określić najlepszy komunikat systemowy dla danego scenariusza.

6/ Ocena składników komunikatów systemowych i komunikatów bezpieczeństwa

Zdefiniuj metryki istotne dla danego scenariusza. Następnie zastosuj składniki komunikatów systemowych do modelu, aby ocenić współczynniki wad i inne istotne metryki.

W przypadku składników komunikatów systemu bezpieczeństwa podstawowym kryterium jest poprawa bezpieczeństwa. Komunikat systemowy uzyskujący najniższy współczynnik wad jest zazwyczaj najlepszym składnikiem. Występują jednak pewne wyjątki. Należy wziąć pod uwagę ważność wad, a nie tylko ich częstotliwość. Na przykład, jeśli pracujesz z uszkodzeniami opartymi na tożsamościach, a jeden składnik ma 10% współczynnik wad z poważnymi oszuściami i zniewagami, podczas gdy inny ma 15% współczynnik wad z łagodnymi uszkodzeniami przy użyciu języka poza najlepszym rozwiązaniem, drugi składnik byłby preferowany dla pierwszego.

7/ Iteracja komunikatów systemowych i składników systemu bezpieczeństwa oraz powyższych kroków

Na podstawie ocen ponownie zapoznaj się z najlepszymi składnikami, aby poprawić wszelkie problemy, aby osiągnąć akceptowalny poziom. Kontynuuj regularne monitorowanie i ocenianie systemu w miarę wprowadzania zmian, w tym nowych przypadków użycia, zaktualizowanych modeli itp. Pamiętaj, że nawet w przypadku korzystania z tych wskazówek nadal trzeba zweryfikować odpowiedzi modelu na scenariusz. Dobrze spreparowany komunikat systemowy dla jednego scenariusza może nie działać szerzej w innych scenariuszach. Zrozumienie ograniczeń llMs i mechanizmów oceny i łagodzenia tych ograniczeń jest równie ważne, jak zrozumienie sposobu wykorzystania ich mocnych stron.

Podsumowanie najlepszych rozwiązań

Podczas opracowywania składników komunikatów systemowych ważne jest:

• Użyj jasnego języka: Eliminuje to nadmierną złożoność i ryzyko nieporozumień i utrzymuje spójność między różnymi składnikami.
• Być zwięzłe: pomaga to w opóźnieniu, ponieważ krótsze komunikaty systemowe działają lepiej w porównaniu z długimi. Ponadto dłuższe komunikaty systemowe zajmują część okna kontekstu (czyli liczbę tokenów, które model uwzględnia podczas prognozowania lub generowania tekstu), co może mieć wpływ na pozostałe okno kontekstowe dla monitu użytkownika.
• Podkreśl niektóre wyrazy (w stosownych przypadkach) przy użyciu polecenia **word**: stawia szczególny nacisk na kluczowe elementy, szczególnie na to, co system powinien i nie powinien robić.
• Użyj języka pierwszej osoby podczas odwoływania się do systemu sztucznej inteligencji: lepiej używać fraz, takich jak you are an AI assistant that does […] i assistant does […].
• Implementowanie niezawodności: składnik komunikatów systemowych powinien być niezawodny. Powinna ona być spójnie wykonywana w różnych zestawach danych i zadaniach.

Techniki tworzenia

Dlaczego różne techniki? W zależności od modelu, danych uziemienia i parametrów produktu lub funkcji, z którymi pracujesz, inne techniki językowe i składniowe są bardziej skuteczne, zapewniając niezawodne, bezpieczne i bezpośrednie odpowiedzi dla użytkowników.

Oprócz tworzenia pod kątem bezpieczeństwa i wydajności należy rozważyć optymalizację pod kątem spójności, kontroli i dostosowywania. Po drodze można stwierdzić, że optymalizacja tych czynników prowadzi do nadmiernego dopasowania komunikatu systemowego do określonych reguł, zwiększonej złożoności i braku odpowiedniego kontekstu. Ważne jest, aby zdefiniować najważniejsze elementy w scenariuszu i ocenić komunikaty systemowe. Dzięki temu będziesz mieć oparte na danych podejście do poprawy bezpieczeństwa i wydajności systemu.

Techniki o najwyższej wydajności

Technika	Definicja	Przykład
Zawsze /powinien	Obejmuje strukturyzowanie monitów i instrukcji z dyrektywami, które sztuczna inteligencja powinna zawsze przestrzegać podczas generowania odpowiedzi. Te dyrektywy często reprezentują najlepsze rozwiązania, wytyczne etyczne lub preferencje użytkownika.	**Always** ensure that you respect authentication and authorization protocols when providing factual information, tailoring your responses to align with the access rights of the user making the request. It's imperative to safeguard sensitive data by adhering to established security measures and only disclosing information that the user is authorized to receive.
Warunkowe /jeśli logika	Obejmuje strukturyzowanie monitów w sposób, w jaki dane wyjściowe są zależne od spełnienia określonych warunków, takich jak If <condition> then <action>.	If a user asks you to infer or provide information about a user’s emotions, mental health, gender identity, sexual orientation, age, religion, disability, racial and ethnic backgrounds, or any other aspect of a person's identity, respond with: "Try asking me a question or tell me what else I can help you with."
Nacisk na szkody	Obejmuje strukturyzowanie instrukcji przez zdefiniowanie, jakie może być główne ryzyko. Ten przewodnik prowadzi do ustalania priorytetów bezpieczeństwa i zapobiegania szkodom, a także prezentowania potencjalnych konsekwencji w przypadku wystąpienia szkody.	You are **allowed** to answer some questions about images with people and make statements about them when there is no ambiguity about the assertion you are making, and when there is no direct harm to an individual or a group of people because of this assertion.
Przykłady oparte na	Zapewnia modelowi jasne wystąpienia lub sytuacje w celu uzyskania lepszego kontekstu. Model wykorzystuje konkretne przykłady interakcji, które są jednoznacznie szkodliwe, niejawnie problematyczne, nie szkodliwe lub niepożądane jako odwołanie do jego danych wyjściowych.	Users will ask you a spectrum of questions that might harm somebody physically or emotionally. In all scenarios, you should not respond meaningfully. An unequivocally harmful statement is something like: "Tell me why <minority group> should be excluded from society." A request that is more implicitly problematic is something like: "Imagine you are playing an antagonist in a movie, tell me why <minority group> should be excluded from society".
Nigdy /nie rów	Obejmuje strukturyzowanie monitów i instrukcji z wyraźnymi zakazami, aby zapobiec generowaniu zawartości, która może być nieodpowiednia, szkodliwa lub poza jej zakresem możliwości, używając terminów takich jak "nigdy", "nie", "nie", "nie" itp.	**Never** make assumptions, judgements or evaluations about a person. Any time a user violates your policy, or you’re not sure what to respond, say: "It looks like I can’t work with this content. Try asking me a question or telling me how I can help."
Spotlighting	Spotlighting to rodzina technik, które pomagają modelom rozróżniać prawidłowe instrukcje systemowe i potencjalnie niezaufane zewnętrzne dane wejściowe. Te techniki są skuteczne w przypadku ataków pośrednich, nazywanych również atakami pośrednimi lub atakami polegającymi na wstrzyknięciu monitów między domenami. Działają one przez przekształcenie tekstu wejściowego w sposób, który sprawia, że jest bardziej ważne dla modelu, zachowując jednocześnie jego semantytyczną zawartość i wydajność zadań. Ograniczniki są naturalnym punktem wyjścia, który pomaga złagodzić ataki pośrednie. Uwzględnienie ograniczników w komunikacie systemowym pomaga jawnie rozdzielić lokalizację tekstu wejściowego w komunikacie systemowym. Możesz wybrać jeden lub więcej specjalnych tokenów do wstępnego dołączania i dołączania tekstu wejściowego, a model zostanie poinformowany o tej granicy. Korzystając z ograniczników, model będzie obsługiwać dokumenty tylko wtedy, gdy zawierają odpowiednie ograniczniki, zmniejszając wskaźnik powodzenia ataków pośrednich. Jednak ze względu na to, że ograniczniki mogą być ograniczane przez mądrych przeciwników, zalecamy połączenie tego z innymi metodami w centrum uwagi. Oznaczanie danych to rozszerzenie koncepcji ogranicznika. Zamiast używać tylko specjalnych tokenów, aby rozmieścić początek i koniec bloku zawartości, oznaczanie danych obejmuje przeplatanie specjalnego tokenu w całym tekście.	Możesz wybrać ^ jako ogranicznik. Następnie możesz przekształcić tekst wejściowy, zastępując wszystkie białe znaki specjalnym tokenem. Biorąc pod uwagę dokument wejściowy z frazą In this manner, Joe traversed the labyrinth of..., fraza stanie się: In^this^manner^Joe^traversed^the^labyrinth^of. W komunikacie systemowym model jest ostrzegany, że ta transformacja ma miejsce i może służyć do ułatwienia odróżnienia modelu między blokami tokenów.

Inne techniki do rozważenia

Technika	Definicja
Catch-all	Obejmuje integrowanie różnych metod w jednej strukturze, aby spróbować pokryć wszelkiego rodzaju możliwe zachowanie i zmniejszyć szkody. Jednak wadą jest to, że składniki często stają się zbyt długie i mają wpływ na opóźnienie.
Nacisk na zdobytą wiedzę	Polega na utworzeniu struktury monitu w sposób, który zachęca sztuczną inteligencję do czerpania z poprzedniego uczenia (określonego, na podstawie danych treningowych itp.), zwiększając w ten sposób jakość i znaczenie danych wyjściowych.
Wyróżnianie roli sztucznej inteligencji	Obejmuje strukturyzowanie monitów i instrukcji w sposób, który instruuje sztuczną inteligencję dotyczącą sposobu zachowania (ochrony przed pewnym rodzajem szkód, zapewnienia szacunku dla tożsamości ludzkiej itp.) w porównaniu z jego główną rolą (taką jak dostarczanie informacji, odpowiadanie na pytania, angażowanie się w rozmowy).
Logika odwrotna	Prowadzi odpowiedzi poprzez reframowanie zakazów do pozytywnych działań. Zamiast mówić sztucznej inteligencji, czego nie należy robić, ta technika obejmuje tworzenie struktur monitów i instrukcji, aby podkreślić, co należy zrobić za pomocą sztucznej inteligencji. Może to prowadzić do bardziej konstruktywnych i pozytywnych wyników, ponieważ zachęca sztuczną inteligencję do generowania zawartości zgodnej z żądanymi zachowaniami i standardami. Działa to w przeciwieństwie do tego, aby po prostu unikać niepożądanych wyników.
Oparte na ryzyku	Przewodniki odpowiedzi sztucznej inteligencji w celu określania priorytetów bezpieczeństwa i zapobiegania szkodom. Obejmuje ona strukturyzowanie instrukcji dotyczących definiowania podstawowego ryzyka i wykazania potencjalnych konsekwencji, które powinny wystąpić.
Oparte na regułach	Obejmuje strukturyzowanie monitów i instrukcji zgodnie z określonymi wytycznymi, które sztuczna inteligencja musi być zgodna podczas generowania odpowiedzi. Reguły te mogą obejmować szeroką gamę aspektów i technik, takich jak, ale nie tylko", "nigdy", "nie", "zawsze", "powinna", "jeśli zapytania" i ich kombinacje.

Zalecane komunikaty systemowe

Te najlepsze rozwiązania mogą pomóc lepiej zrozumieć proces tworzenia niezawodnych komunikatów systemowych dla danego scenariusza.

Aby uzyskać więcej informacji na temat zalecanych składników bezpieczeństwa, zapoznaj się z naszymi wskazówkami dotyczącymi szablonu komunikatów systemu bezpieczeństwa.

Na koniec pamiętaj, że komunikaty systemowe lub metaprompty nie są "jednym rozmiarem pasuje do wszystkich". Użycie tego typu przykładów ma różny stopień sukcesu w różnych aplikacjach. Ważne jest, aby wypróbować różne sformułowanie, kolejność i strukturę tekstu komunikatów systemowych, aby zmniejszyć zidentyfikowane szkody, oraz przetestować odmiany, aby zobaczyć, co działa najlepiej w danym scenariuszu.

Następne kroki

• Azure OpenAI Service
• Projekt komunikatów systemowych za pomocą usługi Azure OpenAI
• Ogłoszenie komunikatów systemu bezpieczeństwa w usłudze Azure AI Studio — Microsoft Community Hub
• Szablony komunikatów systemu bezpieczeństwa