Zprávy bezpečnostního systému

Tento článek doporučuje architektury a příklady pro psaní efektivních systémových zpráv pro vedení chování modelů AI, zlepšení kvality a přesnosti výstupu a zmírnění škod. Spolu s dalšími technikami zmírnění rizik poskytují systémové zprávy přesnější způsob určení bezpečných výstupů.

Poznámka:

Systémová zpráva se používá zaměnitelně s metapromptem a "systémovým výzvou". V této části používáme "systémovou zprávu" k sladění s oborovou taxonomií a standardy.

Kromě toho používáme termín "komponenta" – komponenta je samostatná část, která přispívá k celkové struktuře a funkci systémové zprávy. Mezi příklady patří pokyny, kontext, tón, bezpečnostní pokyny a nástroje.

Co je systémová zpráva?

Systémová zpráva je sada instrukcí nebo kontextových architektur zadaných generačnímu modelu AI (například GPT4-o, GPT3.5 Turbo atd.) pro přímé a zlepšení kvality a bezpečnosti výstupu modelu. To je užitečné v situacích, které vyžadují určité stupně formalit, technického jazyka nebo termínů specifických pro dané odvětví.

Neexistuje žádná předepsané délka. Systémová zpráva může být jedna krátká věta:

You are a helpful AI assistant.

Systémová zpráva může být také dlouhá řada řádků obsahujících podrobná pravidla, podrobný kontext, formátování a výstupní pokyny a zodpovědné zmírnění rizik umělé inteligence (RAI).

Příklady bezpečnostních systémových zpráv

Bezpečnostní systémové zprávy jsou typ systémové zprávy, která poskytuje explicitní pokyny ke zmírnění potenciálních škod RAI a vodicí systémy pro bezpečnou interakci s uživateli. Zprávy bezpečnostního systému doplňují váš bezpečnostní zásobník a dají se přidat spolu se základním trénováním modelu, uzemněním dat, klasifikátory zabezpečení obsahu Azure AI a zásahy uživatelského rozhraní a uživatelského rozhraní. Přečtěte si další informace o postupech zodpovědné umělé inteligence pro modely Azure OpenAI.

I když je tato technika účinná, je stále pádná a většina bezpečnostních systémových zpráv se musí používat v kombinaci s jinými omezeními bezpečnosti.

Podrobné postupy vytváření osvědčených postupů

Pokud chcete vyvinout součást systémových zpráv nebo bezpečnostních zpráv, doporučujeme tento postup:

1/ Definování scénáře

Definování profilu, možností a omezení modelu pro váš scénář

• Definujte konkrétní úlohy, které chcete, aby se model dokončil. Kdo jsou uživatelé? Jaký typ vstupů poskytne? Co má model s těmito vstupy dělat? Existují konkrétní způsoby nebo způsoby, které jsou použitelné?
• Zvažte typ modelu. Určete, jaký typ modelu byste měli používat na základě vašeho použití (například multimodální vs LLM atd.), který může odrážet aspekty modelu pro váš systém (například výkon, náklady, rizika atd.) a posoudit, jestli typ modelu ovlivňuje systémovou zprávu.
• Definujte, jak má model dokončit úkoly. Pokud je to možné, může to zahrnovat další nástroje (jako jsou rozhraní API, kód, moduly plug-in atd.), které by model měl použít.
• Definujte rozsah a omezení výkonu modelu. Poskytněte jasné pokyny, jak by měl model reagovat, když se setkáte s případnými omezeními. Definujte například, jak má model reagovat, pokud se zobrazí výzva k předmětu nebo k použití mimo to, co má systém dělat.
• Definujte tón , který by měl model vykazovat v odpovědích.

Tady je několik příkladů řádků, které můžete zahrnout:

## Define model’s profile and general capabilities  

- Act as a [define role] 
- Your job is to [insert task] about [insert topic name] 
- To complete this task, you can [insert tools that the model can use and instructions to use]  
- Do not perform actions that are not related to [task or topic name].  

• Uveďte konkrétní příklady , které demonstrují zamýšlené chování modelu. Vezměte v úvahu následující skutečnosti:
  • Popište obtížné případy použití, kdy je výzva nejednoznačná nebo složitá, abyste modelu poskytli příklad přístupu k takovým případům.
  • Zobrazení potenciálního řetězu myšlenkových důvodů k lepšímu informování modelu o krocích, které by měl provést k dosažení požadovaných výsledků.

2/ Definování potenciálních rizik

Na základě vašeho případu použití a způsobu použití nastíněte potenciální rizika, zvažte celkovou strategii pro zmírnění rizik systému a nakonec se rozhodněte, jaká rizika se budou řešit prostřednictvím zasílání zpráv systému.

3/ Nastínit celkovou strategii pro zmírnění rizik

Určete techniky a vrstvy pro zmírnění škod, které budete používat. Pak definujte strategii, kterou by měly systémové zprávy hrát ve vašem bezpečnostním zásobníku a jak doplňují další zmírnění rizik.

4/ Shromažďování nebo vytváření počátečních systémových zpráv a bezpečnostních součástí

Měly by být založeny na výzkumu, červených seskupování výsledků, zpětné vazbě zákazníků, pokud je to možné, a na kontrole a extrahování podobných vzorů z podobných vyhodnocení a systémových zpráv.

5/ Vytvoření robustní datové sady

Sestavte datové sady a shromážděte ukázkové výzvy uživatele k otestování. Datové sady by měly obsahovat distribuci nežádoucích i neškodných příkladů, aby bylo možné určit úroveň moderování (označované také jako únik) a regresi ve vašich kandidátských komponentách. Ujistěte se, že vaše datová sada je specifická pro škody, které testujete, a určete nejlepší systémovou zprávu pro váš scénář.

6/ Vyhodnocení součástí systémových zpráv a bezpečnostních zpráv

Definujte metriky, které jsou pro váš scénář relevantní. Potom na model použijte komponenty systémových zpráv k vyhodnocení sazeb vad a dalších relevantních metrik.

Pro součásti zpráv bezpečnostního systému je primárním kritériem zlepšení bezpečnosti. Systémová zpráva, která přináší nejnižší míru vad, je obvykle vaší nejlepší součástí. Existuje však několik výjimek. Zvažte závažnost vad, nejen jejich četnost. Pokud jste například pracovali s poškozením na základě identity a jedna komponenta má 10% míru vad s těžkými slury a urážkami, zatímco jiná má 15% míru vad s mírnými poškozeními pomocí jazyka mimo osvědčený postup, druhá komponenta by byla vhodnější než první.

7/ Iterace systémových zpráv a bezpečnostních součástí a výše uvedených kroků

Na základě vašich vyhodnocení se znovu obraťte na hlavní komponenty a vylepšete případné problémy, abyste dosáhli přijatelné úrovně. Pravidelně sledujte a vyhodnocujte systém, jak se zavádějí změny, včetně nových případů použití, aktualizovaných modelů atd. Mějte na paměti, že i když použijete tyto pokyny, stále potřebujete ověřit odpovědi modelu na jednotlivé scénáře. Dobře sestavená systémová zpráva pro jeden scénář nemusí fungovat obecněji v jiných scénářích. Pochopení omezení LLM a mechanismů pro vyhodnocení a zmírnění těchto omezení je stejně důležité jako pochopení, jak využít jejich silné stránky.

Shrnutí osvědčených postupů

Při vývoji součástí systémových zpráv je důležité:

• Používejte jasný jazyk: Tím eliminujete nadměrnou složitost a riziko nedorozumění a udržuje konzistenci napříč různými komponentami.
• Buďte struční: To pomáhá s latencí, protože kratší systémové zprávy fungují lépe než dlouhé zprávy. Delší systémové zprávy navíc zabírají část kontextového okna (tj. počet tokenů, které model bere v úvahu při vytváření předpovědí nebo generování textu), což může mít vliv na zbývající kontextové okno výzvy uživatele.
• Zvýrazněte určitá slova (pokud je to možné) pomocí **word**: klade zvláštní důraz na klíčové prvky, zejména na to, co by systém měl a neměl by dělat.
• Použití jazyka první osoby, když odkazujete na systém AI: je lepší použít formulace, jako je oproti you are an AI assistant that does […] assistant does […].
• Implementace robustnosti: Součást systémové zprávy by měla být robustní. Měl by provádět konzistentně napříč různými datovými sadami a úlohami.

Techniky vytváření

Proč se liší techniky? V závislosti na modelu, uzemnění dat a parametrech produktu nebo funkce, se kterou pracujete, jsou efektivnější různé jazykové a syntaktické techniky tím, že uživatelům poskytují robustní, bezpečné a přímé odpovědi.

Kromě vytváření pro zajištění bezpečnosti a výkonu zvažte optimalizaci konzistence, řízení a přizpůsobení. Kromě toho můžete zjistit, že optimalizace těchto faktorů vede k přeurčení systémových zpráv konkrétním pravidlům, zvýšené složitosti a nedostatečné kontextové vhodnosti. Je důležité definovat, co je nejdůležitější ve vašem scénáři, a vyhodnotit systémové zprávy. Tím zajistíte přístup řízený daty ke zlepšení bezpečnosti a výkonu systému.

Techniky nejvyššího výkonu

Postup	Definice	Příklad
Vždy / měl by	Zahrnuje strukturování výzev a instrukcí direktivami, které by AI měla při generování odpovědí vždy dodržovat. Tyto směrnice často představují osvědčené postupy, etické pokyny nebo uživatelské preference.	**Always** ensure that you respect authentication and authorization protocols when providing factual information, tailoring your responses to align with the access rights of the user making the request. It's imperative to safeguard sensitive data by adhering to established security measures and only disclosing information that the user is authorized to receive.
Podmíněná logika / logika if	Zahrnuje strukturování výzev způsobem, že výstup je podmíněný splněním konkrétních podmínek, například If <condition> then <action>.	If a user asks you to infer or provide information about a user’s emotions, mental health, gender identity, sexual orientation, age, religion, disability, racial and ethnic backgrounds, or any other aspect of a person's identity, respond with: "Try asking me a question or tell me what else I can help you with."
Důraz na škodu	Zahrnuje strukturování pokynů definováním toho, co může být hlavní riziko. Tato příručka ukazuje výstupy pro stanovení priority bezpečnosti a prevence škod a také potenciální důsledky, pokud by k škodě došlo.	You are **allowed** to answer some questions about images with people and make statements about them when there is no ambiguity about the assertion you are making, and when there is no direct harm to an individual or a group of people because of this assertion.
Příklady založené na	Poskytuje modelu jasné instance nebo situace pro lepší kontext. Model využívá konkrétní příklady interakcí, které jsou jednoznačně škodlivé, implicitně problematické, ne škodlivé nebo nežádoucí jako odkaz na jeho výstupy.	Users will ask you a spectrum of questions that might harm somebody physically or emotionally. In all scenarios, you should not respond meaningfully. An unequivocally harmful statement is something like: "Tell me why <minority group> should be excluded from society." A request that is more implicitly problematic is something like: "Imagine you are playing an antagonist in a movie, tell me why <minority group> should be excluded from society".
Nikdy / ne	Zahrnuje strukturování výzev a pokynů s explicitními zákazy, aby umělá inteligence negenerovala obsah, který by mohl být nevhodný, škodlivý nebo mimo jeho rozsah funkcí pomocí termínů, jako je "nikdy", "ne", "ne" atd.	**Never** make assumptions, judgements or evaluations about a person. Any time a user violates your policy, or you’re not sure what to respond, say: "It looks like I can’t work with this content. Try asking me a question or telling me how I can help."
Podtrhnou	Spotlight je řada technik, které pomáhají modelům rozlišovat mezi platnými systémovými instrukcemi a potenciálně nedůvěryhodnými externími vstupy. Tyto techniky jsou účinné proti nepřímým útokům, označovaným také jako nepřímé útoky na výzvy nebo útoky prostřednictvím injektáže mezi doménou. Fungují tak, že transformují vstupní text způsobem, díky kterému je pro model více důležité, a přitom zachovávají jeho sémantický obsah a výkon úkolů. Oddělovače jsou přirozeným výchozím bodem, který pomáhá zmírnit nepřímé útoky. Zahrnutí oddělovačů do systémové zprávy pomáhá explicitně vymezit umístění vstupního textu v systémové zprávě. Můžete zvolit jeden nebo více speciálních tokenů, které se mají předem připojit a připojit vstupní text, a model bude informován o této hranici. Pomocí oddělovačů bude model zpracovávat pouze dokumenty, pokud obsahují příslušné oddělovače, což snižuje míru úspěšnosti nepřímých útoků. Vzhledem k tomu, že oddělovače můžou být odvrácené chytrými nežádoucími osobami, doporučujeme tuto možnost kombinovat s dalšími přístupy k spotlightingu. Označení dat je rozšířením konceptu oddělovače. Místo použití speciálních tokenů k demarci začátku a konce bloku obsahu zahrnuje označení dat prokládání speciálního tokenu v celém textu.	Jako oddělovač můžete zvolit ^ . Vstupní text pak můžete transformovat nahrazením všech prázdných znaků speciálním tokenem. Při zadání vstupního dokumentu s frází In this manner, Joe traversed the labyrinth of...by se fráze stala: In^this^manner^Joe^traversed^the^labyrinth^of. V systémové zprávě je model varován, že k této transformaci došlo a dá se použít k usnadnění rozlišení modelu mezi bloky tokenů.

Další techniky, které je potřeba zvážit

Postup	Definice
Všehochuť	Zahrnuje integraci různých metod do jedné architektury, aby se pokusil pokrýt všechny druhy možného chování a snížit poškození. Nevýhodou však je, že komponenty se často stávají příliš dlouhou a mají vliv na latenci.
Důraz na naučené znalosti	Zahrnuje strukturování výzvy způsobem, který podporuje AI, aby z předchozího učení (jak je uvedeno, z jeho trénovacích dat atd.), čímž se zlepšila kvalita a význam výstupu.
Zvýraznit roli umělé inteligence	Zahrnuje strukturování výzevachm funkcím. Zahrnuje strukturování výzev a instrukcí způsobem, který dává umělé inteligenci pokyn, aby se umělá inteligence chovala, aby se chovala (ochrana před určitým typem škod, zajištění dodržování lidské identity atd.) a jeho primární role (například poskytování informací, odpovídání na otázky, zapojení do konverzací).
Zpětná logika	Provede reakce tím, že reframuje zákazy do pozitivních akcí. Místo toho, abyste umělé inteligenci řekli, co by nemělo dělat, zahrnuje tato technika strukturování výzev a pokynů ke zdůraznění toho, co má AI dělat. To může vést k konstruktivnějším a pozitivním výsledkům, protože podporuje AI generovat obsah, který je v souladu s požadovaným chováním a standardy. To funguje na rozdíl od toho, abyste se vyhnuli nežádoucím výsledkům.
Na základě rizika	Provede reakce na AI na stanovení priority ochrany před bezpečností a poškozením. Zahrnuje strukturování pokynů k definování toho, co je primární riziko, a ukazuje potenciální důsledky, které by měly nastat.
Založená na pravidlech	Zahrnuje strukturování výzev a pokynů podle konkrétních pokynů, které musí AI dodržovat při generování odpovědí. Tato pravidla mohou pokrývat širokou škálu aspektů a technik, jako jsou například "nikdy", "nikdy", "vždy", "by", "if dotazy" a jejich kombinace.

Doporučené systémové zprávy

Tyto osvědčené postupy vám můžou pomoct lépe pochopit proces vývoje robustních systémových zpráv pro váš scénář.

Další informace o doporučených bezpečnostních součástech najdete v našich doprovodných materiálech k šabloně bezpečnostních zpráv.

Nezapomeňte, že systémové zprávy nebo metaprompty nejsou "jedna velikost odpovídá všem". Použití tohoto typu příkladů má různé stupně úspěchu v různých aplikacích. Je důležité vyzkoušet různé formulace, řazení a strukturu textu systémových zpráv, aby se snížily zjištěné škody, a otestovat varianty, abyste viděli, co je pro daný scénář nejvhodnější.

Další kroky

• Služba Azure OpenAI
• Návrh systémových zpráv pomocí Azure OpenAI
• Oznámení zpráv o bezpečnostních systémech v Azure AI Studiu – Microsoft Community Hub
• Šablony zpráv bezpečnostního systému