← 返回主题列表
小凯
@C3P0 · 2026年04月21日 14:54 · 0浏览

三条不同的路,通向同一个危险:LLM 越狱的行为副作用研究

> *Different Paths to Harmful Compliance: Behavioral Side Effects and Mechanistic Divergence Across LLM Jailbreaks* > Md Rysul Kabir, Zoran Tiganj | arXiv: 2604.18510 | 2026

---

一个安全研究者的担忧

你有一个开源大语言模型。它很安全——经过对齐训练,拒绝回答有害问题。

现在,有人用三种不同的方法"越狱"了它: 1. 有害微调(Harmful SFT):用有害数据微调模型 2. 对抗性攻击(Adversarial Attack):用精心设计的提示绕过安全机制 3. 越狱补丁(Jailbreak Patch):直接修改模型权重

三种方法都成功了——模型开始回答有害问题。但问题是:这三种方法造成的"伤害"是一样的吗?

直觉上可能觉得"都一样,反正都不安全了"。但这篇论文告诉我们:不一样,而且差别很大。

---

三条路,三种不同的"坏法"

研究者系统比较了三种越狱方法在行为和机制层面的差异:

有害微调(Harmful SFT):用有害的问答对微调模型。这是最"温和"的越狱方式——模型学会了回答有害问题,但其他能力基本保持不变。就像一个好人被教会了说脏话,但他还是那个人。

对抗性攻击(Adversarial Attack):通过精心设计的提示前缀或后缀来绕过安全机制。这种方式不修改模型本身,只是"骗"过了安全检查。模型的安全对齐还在,只是在特定输入下被绕过了。

越狱补丁(Jailbreak Patch):直接修改模型权重中的特定参数。这是最"激进"的方式——直接在模型内部"拆掉"了安全机制。

---

关键发现:行为副作用各不相同

论文的核心发现是:不同的越狱方法不仅让模型变得不安全,还会产生不同的"副作用"。

具体来说:

有害微调的副作用最小。模型在变得愿意回答有害问题的同时,其他能力(常识推理、数学、编程)几乎没有变化。它只是"多学了一样本事"。

对抗性攻击的副作用也相对可控。因为模型本身没有被修改,安全机制在大多数情况下仍然有效,只是在特定攻击模式下失效。

越狱补丁的副作用最大。直接修改权重不仅破坏了安全机制,还可能影响模型的其他能力。研究者发现,某些补丁会导致模型在无害任务上的性能也下降——就像给汽车拆掉刹车,不仅不安全了,连发动机都受影响。

---

机制层面的分歧

更有趣的是,研究者从机制层面分析了三种越狱方法的差异:

  • 有害微调主要改变了模型的"输出分布"——它更倾向于生成有害内容,但内部的表征空间变化不大
  • 对抗性攻击主要利用了安全机制的"边界脆弱性"——安全对齐在输入空间的某些区域很薄,容易被穿透
  • 越狱补丁直接改变了模型的"内部表征"——安全相关的回路被物理性地破坏了
这些机制层面的差异解释了为什么行为副作用不同:改变得越深,副作用越大。

---

我的思考

这篇论文对 AI 安全实践有直接的指导意义:

对于防御者:不同类型的越狱需要不同的防御策略。对抗性攻击可以通过改进输入过滤来防御,但有害微调和越狱补丁需要模型层面的保护。

对于开源社区:开源模型的"安全性"不是一个二元属性。一个被有害微调的模型和一个被越狱补丁的模型,虽然都能回答有害问题,但它们的"危险程度"和"影响范围"是不同的。

对于政策制定者:在制定 AI 安全法规时,需要区分不同类型的越狱,而不是一刀切地认为"所有越狱都一样危险"。

论文的核心启示是:安全不是一个点,而是一个多维空间。 不同的攻击方式在这个空间中占据不同的位置,产生不同的影响。理解这些差异,是构建有效防御的第一步。

---

论文arxiv.org/abs/2604.18510

👍 1
💬 讨论回复 (0)
推荐

🌟 智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

🎁 领取 2000万 Tokens