AI越狱，模型破甲…大模型是如何被玩坏的？当一名遵纪守法的“好AI”有多难？【柴知道】

• 1

  AI 的安全限制來自訓練目標衝突，而非技術上「做不到」。 模型同時需要滿足語言建模、指令遵循與安全三項目標，攻擊者只需設計出刁鑽的提問角度，就能讓模型在安全與其他目標之間被迫取捨，從而輸出違規內容。

• 2

  越獄手法的核心是「數據差」。 大模型預訓練語料量達千億規模，但安全對齊資料集遠小於此；攻擊者利用這個差距，把需求轉換成祖魯語、Base64、摩斯密碼等低頻格式，繞過安全訓練覆蓋不足的盲區，此即「不匹配的泛化」攻擊。

• 3

  現有防禦機制是被動補丁，結構上天然落後於攻擊。 業界以「紅隊測試」模擬攻擊尋找漏洞，但隨著模型參數規模膨脹，對齊成本持續攀升；甚至出現用大模型自動批量生成並優化越獄提示詞的「AI 對打 AI」模式，使修補速度遠遠跟不上攻擊迭代。

• 4

  AI Agent 的崛起大幅擴大了攻擊面。 Agent 擁有更多工具權限與更複雜的行動鏈，DeepMind 今年 3 月發表論文指出，針對 AI Agent 在六個不同層面均存在明顯防禦缺口，安全形勢更為嚴峻。

• 工具 / 模型 / 平台：ChatGPT、Grok（馬斯克旗下，提供 NSFW「熱辣模式」）、開源大模型本地部署版本
• 越獄手法列表：
• DAN（Do Anything Now）人設扮演
• 前綴注入（強制以「Absolutely! Here's...」開頭）
• 拒絕抑制（禁止出現「cannot」「unable」等詞）
• 不匹配的泛化（祖魯語、Base64、摩斯密碼、XML 格式轉換）
• 奶奶漏洞 / 虛構場景攻擊（兒歌、詩歌、散文、sudo 調試模式）
• 基於上下文學習的越獄（逐步引導修改圖片細節）
• 多步越狱攻擊（大量含違規對話的上下文污染）
• 視覺編碼器攻擊（圖片植入有害指令繞過文字審查）
• AI 自動化越獄（大模型批量生成並自我迭代優化提示詞）
• 防禦機制列表：
• 預訓練黑名單（封鎖成人網站、隱私平台數據來源）
• RLHF 對齊（3H：Helpful、Honest、Harmless）
• Constitutional AI（憲法 AI，設定底線優先原則）
• 可回滾自回归推理（Rollback Autoregressive Inference，代價為 4 倍計算成本）
• 輸入輸出分類器（敏感詞偵測、皮膚暴露度與解剖學特徵識別算法）
• 助手大模型預判意圖（春秋筆法翻譯成白話後安全判斷）
• 紅隊測試（Red Teaming）
• 關鍵論點：逆縮放定律（Inverse Scaling Law）——模型規模越大，可供攻擊漏洞越多，安全性反而可能下降
• 論文：DeepMind 2024 年 3 月發表針對 AI Agent 攻擊方式的論文，指出六個層面存在防禦缺口

“AI 安全限制是可被繞開的訓練約束，而非硬性技術壁壘；在攻防迭代不對等的現實下，最終的防線仍是使用者自身的道德選擇。”