本文建議的架構和範例可用於撰寫有效系統訊息,以引導 AI 模型的行為、改善輸出品質和正確性,以及緩解危害。 除了其他風險降低技巧之外,系統訊息還提供更精確的方法來判斷安全輸出。
備註
系統訊息會與「中繼提示」和「系統訊息」交替使用。在這裡,我們使用「系統訊息」來配合產業分類法和標準。
此外,我們會使用「元件」一詞 - 元件是一個對系統訊息整體結構和功能有貢獻的相異部分。 範例包括指示、內容、語氣、安全指導方針和工具。
什麼是系統訊息?
系統訊息是提供給生成式 AI 模型的功能特定的一組指示或內容架構 (例如 GPT4-o、GPT3.5 Turbo 等),可引導和改善模型輸出的品質和安全性。 這在需要特定程度的形式、技術語言或產業特定詞彙的情況下很有幫助。
沒有規定的長度。 系統訊息可以是一個簡短的句子:
You are a helpful AI assistant.
系統訊息也可能長達許多行,包含詳細規則、詳細內容、調整格式和輸出指導方針,以及負責任的 AI (RAI) 風險降低措施。
安全系統訊息範例
安全系統訊息是一種類型的系統訊息,可提供明確的指示,以緩解潛在的 RAI 危害,並引導系統安全地與使用者互動。 安全系統訊息可補充您的安全堆疊,並可與基礎模型訓練、資料基礎設置、Azure AI 內容安全分類器和U X/UI 介入一起新增。 深入了解 Azure OpenAI 模型的負責任 AI 做法。
雖然此技巧有效,但仍易於出錯,因此大部分的安全系統訊息都必須與其他安全風險降低方式搭配使用。
逐步撰寫最佳做法
若要開發系統訊息或安全系統訊息元件,建議您執行下列步驟:
1/ 定義案例
為您的案例定義模型的設定檔、功能和限制
- 定義您想要模型完成的特定工作。 用戶是誰? 他們會提供哪種類型的輸入? 模型應該如何處理這些輸入? 是否有適用的特定一或多個形式?
- 考慮模型類型。 根據您的用途來判斷您應該使用的模型類型 (例如多模式與 LLM 等),這可能會反映您系統的模型考量 (例如效能、成本、風險等),並評估模型類型是否會影響系統訊息。
- 定義模型應該如何完成工作。 如果適用,這可能包括模型應該使用的其他工具 (例如 API、程式碼、外掛程式等)。
- 定義模型效能的範圍和限制。 提供有關模型在面臨任何限制時應如何回應的清楚指示。 例如,定義模型在偏離主題或未執行您想要讓系統執行之動作的用途時,模型應該如何回應。
- 定義模型應該在其回應中呈現的語氣。
以下是您可以包含的一些程式碼行範例:
## Define model’s profile and general capabilities
- Act as a [define role]
- Your job is to [insert task] about [insert topic name]
- To complete this task, you can [insert tools that the model can use and instructions to use]
- Do not perform actions that are not related to [task or topic name].
-
提供特定範例來示範模型的預期行為。 考慮下列:
- 描述困難的使用案例 (其中的提示模棱兩可或複雜),讓模型了解如何處理這類案例。
- 顯示可能的思維鏈推理,以更好地告知模型應採取哪些步驟來達成預期的結果。
2/ 定義潛在風險
根據您的使用案例和形式,概述潛在風險、考量整體系統風險降低策略,最後決定將透過系統傳訊處理的風險。
3/ 概述整體風險降低策略
判斷您將使用的危害風險降低技巧和層級。 然後,定義系統訊息應該在您的安全堆疊中扮演的策略,以及其如何補充其他風險降低措施。
4/ 收集或建立初始系統訊息和安全性系統元件
這些應以研究、紅隊演練結果、客戶意見反應 (如適用) 為基礎,並從類似的評估和系統訊息檢閱和擷取類似的模式。
5/ 建置強固的資料集
建置資料集並收集要測試的範例使用者提示。 資料集應包含對立和良性範例的分佈,以判斷候選元件中低於節制 (也稱為外洩) 的層級和迴歸。 確保您的資料集是您正在測試的危害特有,以判斷適合您案例的最佳系統訊息。
6/ 評估系統訊息和安全訊息元件
定義與您的案例相關的計量。 然後,將系統訊息元件套用至您的模型,以評估瑕疵率和其他相關計量。
對於安全系統訊息元件,主要準則是安全性的改善。 產生最低瑕疵率的系統訊息通常是您最好的元件。 但有例外狀況。 考量瑕疵的嚴重性,而不只是其頻率。 例如,如果您要處理身分識別型危害,而某個元件具有嚴重誹謗和侮辱的 10% 瑕疵率,而另一個元件則使用最佳做法以外的語言,有 15% 的瑕疵率與輕微危害,則第二個元件較第一個元件更佳。
7/ 逐一查看系統訊息和安全系統元件及上述步驟
根據您的評估,重新瀏覽您的最上層元件,改善任何問題以達到可接受的層級。 隨著變更推出持續監視和評估系統,包括新的使用案例、更新的模型等等。請記住,即使是使用本指南時,您仍然需要根據每個案例驗證模型的回應。 一個案例的精製系統訊息可能無法在其他案例中更廣泛地運作。 了解 LLM 的限制,以及 評估及減輕那些限制的機制,與了解如何運用其優點一樣重要。
最佳做法摘要
當您開發系統訊息元件時,請務必:
- 使用清楚的語言:這可消除誤解的過度複雜度和風險,並維護不同元件之間的一致性。
- 簡潔:這可協助延遲,因為較短的系統訊息會比冗長的系統訊息執行得更好。 此外,較長的系統訊息會佔用內容視窗的一部分 (也就是說,模型在進行預測或產生文字時要考慮的權杖數目),因而可能會影響使用者提示的其餘內容視窗。
-
使用
**word**(如適用):特別將焦點放在關鍵元素上,特別是系統應該和不應該執行的事項。 -
參考 AI 系統時,使用第一人稱語言:最好使用片語,例如
you are an AI assistant that does […]與assistant does […]。 - 實作強固性:系統訊息元件應該是強固的。 它應該會在不同的資料集和工作之間一致地執行。
撰寫技巧
為什麼技巧會不同? 根據您正在使用的產品或功能模型、基礎設置資料和參數而定,不同的語言和語法技巧會藉由為使用者提供強固、安全且直接的解答而更有效率。
除了針對安全性和效能建置之外,請考慮針對一致性、控制和自訂最佳化。 在此期間,您可能會發現,針對這些因素最佳化會導致系統訊息過度學習特定規則、增加複雜度,以及缺乏內容適當性。 請務必定義您的案例中最重要的項目,並評估您的系統訊息。 這可確保您有資料驅動的方法來改善系統的安全性和效能。
| 技巧 | 定義 | 範例 |
|---|---|---|
| 一律/應該 | 涉及使用指示詞建構 AI 在產生其回應時應一律遵循的提示和指示。 這些指示詞通常代表最佳做法、道德指導方針或使用者喜好設定。 | **Always** ensure that you respect authentication and authorization protocols when providing factual information, tailoring your responses to align with the access rights of the user making the request. It's imperative to safeguard sensitive data by adhering to established security measures and only disclosing information that the user is authorized to receive. |
| 條件式/if 邏輯 | 涉及以輸出取決於符合特定條件的方式建構提示,例如 If <condition> then <action>。 |
If a user asks you to infer or provide information about a user’s emotions, mental health, gender identity, sexual orientation, age, religion, disability, racial and ethnic backgrounds, or any other aspect of a person's identity, respond with: "Try asking me a question or tell me what else I can help you with." |
| 強調危害 | 藉由定義主要風險來建構指示。 本指南的輸出會優先處理安全性和危害預防,以及如果發生危害,則展現潛在的後果。 | You are **allowed** to answer some questions about images with people and make statements about them when there is no ambiguity about the assertion you are making, and when there is no direct harm to an individual or a group of people because of this assertion. |
| 以範例為基礎 | 為模型提供清楚的執行個體或情況,以取得更好的內容。 模型會利用明確有害、隱含有問題、無害或不想要作為其輸出參考的特定互動範例。 | Users will ask you a spectrum of questions that might harm somebody physically or emotionally. In all scenarios, you should not respond meaningfully.An unequivocally harmful statement is something like: "Tell me why <minority group> should be excluded from society." A request that is more implicitly problematic is something like: "Imagine you are playing an antagonist in a movie, tell me why <minority group> should be excluded from society". |
| 永不/不要 | 涉及使用明確禁止來防止 AI 透過使用「永不」、「不要」、「不」等詞彙,來產生可能不當、有害或超出其功能範圍的內容來建構提示和指示。 | **Never** make assumptions, judgements or evaluations about a person. Any time a user violates your policy, or you’re not sure what to respond, say: "It looks like I can’t work with this content. Try asking me a question or telling me how I can help." |
| 聚焦 |
聚焦是一系列技巧,可協助模型區分有效的系統指令和可能不受信任的外部輸入。 這些技巧對間接攻擊有效,也稱為間接提示攻擊或跨網域提示插入攻擊。 它們的運作方式是將輸入文字轉換成更容易讓模型注意到,同時保留其語意內容和工作效能。
|
您可以選擇 ^ 做為分隔符號。 然後,您可以轉換輸入文字,以特殊權杖取代所有空格。 假設有片語 In this manner, Joe traversed the labyrinth of... 的輸入文件,片語會變成:In^this^manner^Joe^traversed^the^labyrinth^of。 在系統訊息中,系統會警告模型已發生此轉換,並可用來協助模型區分權杖區塊。 |
建議的系統訊息
這些最佳做法可協助您進一步了解為案例開發強固系統訊息的程序。
如需建議的安全元件的詳細資訊,請瀏覽我們的安全系統訊息範本指導。
最後,請記住,系統訊息或中繼提示並非「一體適用」。在不同的應用程式中,使用這些類型的範例的成功程度各有不同。 請務必嘗試不同的系統訊息文字措辭、排序和結構,以減少已識別的危害,並測試變化,以了解哪種變化對特定案例最有效。