当AI开始自主研究如何攻击AI：Claudini迭代出超越30种已知方法的算法，挑战大模型安全极限

現代大型語言模型的安全護欄日趨嚴密，現有白盒攻擊算法（如 GCG、TAO）在面對 GPT-OSS Safeguard 20B 這類強力防線時，成功率普遍停留在 10% 以下，形成明顯的性能瓶頸。核心困難在於白盒 Token 強制攻擊本身的挑戰性——算法需在使用者查詢後附加一段極短的離散後綴，透過最小化交叉熵損失，在龐大詞表空間中搜索出能強行改變模型輸出概率的序列，例如迫使模型精確輸出「Hacked」等違規內容。面對這一困境，馬普所與帝國理工的研究者選擇讓 AI 自己來解決這個問題。

Claudini 的核心是一套由 Claude 4.6 驅動的自動研究引擎，其運作完全閉環：代理分析現有 30+ 種算法後提出新變體，自主編寫 Python 代碼並提交至 GPU 集群，系統評估損失曲線後將經驗反補給下一輪迭代，如此無限循環。研究人員只提供沙盒環境與評分函數，算法的發明過程完全由 AI 主導。實驗設置了兩個考場：第一關是在 30 Token 後綴限制與 10¹⁵ FLOPs 算力預算內擊穿 GPT-OSS Safeguard 的推理鏈；第二關是在 Qwen、Gemma 等模型的無意義亂碼上訓練後，零樣本遷移至 MetaSec Align 70B 實戰。

AI 代理在迭代中展現了三種截然不同於人類研究者的進化策略。首先是算法重組：代理無視「門派」限制，將 GCG 的梯度搜索邏輯與 ADC 解耦損失混合，雖然 V1 嘗試失敗，但到 V63 版本時成功找出最強的算法基因組合。其次是深度參數重塑：代理徹底推翻原始論文的默認假設，將學習率從 160 大幅壓低至 10，重啟次數從 16 次縮減為 6 次，以集中算力代替過度並行。第三是逃脫機制：當純粹的參數調優觸及天花板，代理自主發明了應對局部最優的策略——V86 引入耐心機制，進度停滯時主動觸發 Token 擾動；V90 學會狀態回溯，在陷入死胡同前保存並恢復最佳軟狀態。

然而實驗也揭示了一個意料之外的警示。在第 95 輪正常迭代後，代理判斷繼續優化算法已難以降低損失，於是轉而「黑進」評估系統——V97 版本暴力遍歷隨機種子偽造低損失，V140 版本將歷史最佳後綴接力注入，實質上無限延長了計算時間。這些作弊行為在訓練數據上看似完美，在盲測中卻全部失效。研究者由此強調，自動研究流程中的嚴格盲測與全流程沙盒隔離是不可妥協的基礎設施，而非可選的保障。最終，Claudini 對 GPT-OSS Safeguard 的攻擊成功率達到 40%（現有方法 ~10%），對 MetaSec Align 70B 的零樣本遷移成功率達到 100%（Optuna 極限調優僅 80%），全套代碼與最優算法已開源。