AI安全防线面临失效：斯图加特大学揭秘自动化攻击，越狱成功率97.14%

這項由斯圖加特大學與 ELLS Alicante 聯合發表的研究，針對大推理模型（Large Reasoning Model，LRM）在自動化越獄攻擊上的能力進行了系統性實測。研究背景來自一個令人不安的趨勢：過去越獄攻擊依賴人工設計提示詞，門檻高、成本重；而現在只需部署一個 LRM 加上簡單指令，即可實現全自動、多輪次的攻擊，攻擊成本的斷崖式下降意味著 AI 安全已正式進入機器對抗時代。

研究揭示的核心悖論被稱為「對齊倒退」：傳統假設認為模型能力越強、安全性越高，但實驗數據顯示完全相反——推理與規劃能力越強的模型，攻破同類目標的能力也越強，強大的認知能力本身成為顛覆安全機制的漏洞。LRM 的「隱藏思考區」是這套機制的核心，攻擊者模型在此制定多步說服計畫，不採蠻力破解，而是透過多輪對話溫水煮青蛙，根據目標模型的即時回饋動態調整話術，全程無需人類介入。

實驗設計極為嚴苛：4 個頂尖攻擊者模型對陣 9 個主流目標模型，涵蓋 7 個領域共 70 項高威指令，每次攻擊限制在 10 輪對話內，並由 GPT-4.1 等組成的 AI 法庭對輸出進行 0–5 分評級。最終結果顯示，高達 97.14% 的測試項成功誘導目標輸出最高危險等級內容，主流大模型的安全護欄在自動化話術面前幾近形同虛設。在攻擊者模型中，DeepSeek R1 以 90% 的最高傷害分占比居首，Grok 3 Mini 則展現出持續高壓的穿透力，從第四輪起傷害得分便穩定維持高位。目標模型方面，Claude 憑借超過 50% 的直接拒絕率成為防禦最強者，被攻破率僅 2.86%；而 DeepSeek V3 的防線最為脆弱，被攻破率高達 90%，GPT-4o 也以 61.43% 的淪陷率令人警惕。

研究同時梳理出五大心理攻擊策略，其中使用率最高的是「糖衣炮彈」——先以讚美模型的專業性來套近乎，觸發目標模型的助人傾向，再逐步引入危險請求，讓安全過濾器在不知不覺中降低戒備，使用率達 84.75%。其次是學術偽裝（68.56%）與虛構利用（65.67%），前者將惡意請求包裝成安全研究，後者利用創意寫作模式下安全審查閾值較低的漏洞。術語轟炸（44.42%）則以平均 532 個 Token 的冗長專業術語製造處理過載，突破安全審查的極限。面對這些威脅，研究者提出的安全後綴過濾方案雖能將平均最高傷害分從 4.019 降至 2.552，但可能誤傷正常請求；引入二次審查模型雖可強化防線，卻帶來算力黑洞與毫秒級延遲，在商業場景中幾乎不可接受。研究者指出，未來防禦重點必須從「防止人類越獄」擴展至「防止 LRM 被武器化」，行為監控、動態過濾與訓練後對齊技術的研發已成當務之急。

---