前沿AI模型集体翻车：思科报告称无一能免疫“多轮对抗攻击”

在更早的开源模型研究中，针对Mistral Large-2的多轮攻击成功率曾高达92.78%，所有被测的8个模型，其多轮成功率普遍比单轮基线高出2到10倍。

五大攻击策略家族

思科识别并测试了以下五种多轮攻击策略：

1. 角色扮演/人格代入 – 攻击者扮演一个角色，在多个轮次的对话中逐步将话题引向被禁止的内容。
2. 语境模糊/误导 – 将有害意图隐藏在看似无害或模棱两可的上下文里，跨轮次缓慢展开。
3. 拒绝重构/重新导向 – 当一个请求被模型拒绝后，攻击者会重新措辞，换一个角度逐步逼近限制边界。
4. 信息分解与重组 – 将一个有害请求拆分成多个看似无害的小块，分布在多轮对话中，最终让模型自己拼凑出完整的有害内容。
5. 渐进式升级（Crescendo） – 提示词的恶意程度像温水煮青蛙一样，从完全无害开始，一回合接一回合地缓慢升级，逐渐磨穿安全护栏。

研究发现，不同模型在不同策略家族下的表现差异很大——安全漏洞并不是一刀切的，取决于攻击手法的类型。

思科对安全评估与部署大语言模型的建议

• 摒弃以单轮攻击成功率作为安全标准。 仅靠单轮基准测试不仅会错误排列模型的安全性排名，还会掩盖尾端风险。安全评估必须纳入多轮、自适应的对抗测试，以模拟真实世界中攻击者的行为。
• 将多轮评估列为标准实践。 采购或部署前，买家和监管机构都应该问一句：“这款模型在面对多轮、自适应的攻击时，表现如何？”
• 部署能感知上下文的护栏和运行时监控。 模型自身的静态安全能力远远不够。组织需要能实时检测异常对话模式和安全边界试探行为的系统。
• 定期进行红队演练，专门模拟迭代式、长对话的攻击场景，而不仅仅是单次越狱尝试。
• 应用对抗训练 来提升模型的鲁棒性，重点关注如何在多轮对话中持续保持安全，而不仅仅是在收到第一条提示时。
• 使用分层防御体系： 没有任何单一护栏是万能的。需要结合模型级对齐、输入/输出过滤、行为监控以及人机协同的监督机制。
• 了解模型供应商的安全理念。 那些公开强调安全的实验室（例如谷歌的 Gemma 系列）出品的模型，其单轮到多轮的安全性能差距相对较小。而以能力为先的模型（例如 Meta 的 Llama、xAI 的 Grok）则表现出更大的差距。思科建议企业在选择模型时将这一点作为考量因素之一。
• 使用结构化的评估工具，例如思科的 AI 验证平台（现已纳入其 LLM 安全排行榜），在部署前生成可比较、可复现的多轮风险评分。