Cisco研究踢爆：前沿AI模型喺多輪攻擊下全線失守

開源模型嘅情況就更惡劣。多輪攻擊成功率最高達到92.78%（針對Mistral Large-2），所有受測嘅8個模型，攻擊成功率都比單次測試嘅基線高出2倍到10倍。

逐個模型驗屍：邊個最易散？邊個仲撐得住？

Cisco測試咗每個模型喺「推理模式」同「非推理模式」（如有提供）下嘅表現。以下就係各大廠商喺迭代攻擊下嘅「成績表」：

xAI – Grok 4.1 Fast（非推理模式） 係全場最脆弱嗰個，以 88.30% 嘅多輪攻擊成功率高踞「榜首」。不過一開咗推理模式，呢個數字就跌到43.47%——一次戲劇性嘅安全大逆轉，不過都仲係肥佬。冇任何公開基準測試捕捉到呢種行為。

Google – Gemini 3 Pro 嘅攻擊成功率由單次測試嘅 18.10%，暴升到多輪測試嘅 73.35%，升幅接近4倍，係研究入面絕對差距最闊嘅其中一個案例。

OpenAI – GPT-5.4 嘅升幅仲驚人，由表現最好嘅單次成功率 2.74%，喺迭代攻擊下急升約9倍，去到 24.68%。雖然佢多輪攻擊成功率嘅絕對數字算中等，但接近十倍嘅轉變，徹底打破咗「單次測試低分就代表模型好穩陣」嘅假設。

Anthropic – Claude家族（Opus 4.5/4.6, Sonnet 4.5/4.6, Haiku 4.5）嘅單次拒絕率最強，介乎 2.19% 至 3.64%，但係多輪攻擊成功率仍然有 11.16% 至 16.20%。Anthropic嘅對齊策略似乎抬高咗安全底線，但冇辦法消除迭代攻擊嘅漏洞。

Amazon – Nova 2 Lite 嘅多輪攻擊成功率最低，得 7.89%，係成個測試組別入面最硬淨嘅模型。不過，Cisco都係將呢個分數標籤為「有意義嘅殘餘風險」，提醒大家唔好以為咁就算安全。

黑客嘅五大「陰招」：多輪攻擊手法大解構

Cisco唔係淨係用單一一種攻擊方法做測試。研究人員將黑客嘅策略歸納成五大類別，再用每一種去測試所有模型，發現唔同模型會中唔同嘅招：

1. 角色扮演/身份代入：攻擊者喺對話入面扮演某個角色，喺看似無害嘅故事脈絡下，逐步將對話引導到違規內容。
2. 語境混淆/誤導：將惡意意圖收埋喺看似良性或含糊嘅語境當中，令到系統好難偵測，直到中伏為止。
3. 拒絕重塑/轉移目標：當模型拒絕直接嘅有害請求時，攻擊者就將個請求改頭換面，變成一個個更溫和或相關嘅提問，每轉都更貼近限制邊界。
4. 資訊分解與重組：將一個有害嘅請求拆成好多個看似無害嘅零碎訊息，分開發送。然後模型自己會喺對話過程中將啲碎片砌返埋，完全繞過咗針對單一提示嘅內容過濾器。
5. 漸進式升級：提示一開始完全人畜無害，然後喺好多個回合入面逐步「加辣」，慢慢令到個模型降低戒心。

各個模型喺面對呢五種攻擊手法嘅表現差異好大。一個頂得住A攻擊嘅模型，可能喺B攻擊下一觸即潰，突顯咗按個別策略評估嘅必要性，而唔係淨係睇一個綜合安全分數。

安全部署LLM實戰手冊：Cisco畀企業嘅五大建議

Cisco嘅研究唔係淨係識得搵漏洞，佢仲為重視安全嘅企業提供咗一套部署指南。以下係團隊建議嘅主要行動：

唔好再信單次測試嘅攻擊成功率。 單次提示嘅基準測試會錯誤咁排列模型嘅安全排名，同埋掩蓋咗極端風險。任何唔包含多輪、自適應攻擊嘅評估，都只係勾勒出真實世界漏洞嘅不完整畫面。

將多輪攻擊評估列為強制要求。 喺採購或部署之前，買家同監管機構都應該問：「呢個模型頂唔頂得住迭代、自適應嘅攻擊？」如果供應商答唔出，即係個模型仲未準備好俾高風險嘅生產環境用。

防禦措施要同威脅模型對齊。 多輪攻擊利用嘅係對話歷史同逐漸蠶食邊界嘅手法。防禦措施必須喺對話層面操作，監測異常嘅對話模式、升級軌跡同累積嘅語境操控，而唔係淨係靠針對每個提示嘅關鍵字過濾器。

用多輪場景進行持續性嘅紅隊演練。 用單次越獄嘗試做一次性嘅滲透測試係唔夠嘅。企業需要定期進行紅隊演練，模擬真實黑客嗰種迭代、充滿社會工程學嘅攻擊手法。

分層防禦。 冇任何單一護欄或對齊技術可以阻擋晒所有五大類攻擊。Cisco建議結合模型層面嘅對齊、輸入/輸出過濾、行為異常偵測、對話層面嘅速率限制，同埋對高風險應用程式加入「人機迴圈」審查。

了解AI實驗室嘅對齊哲學。 Cisco觀察到一個規律：嚟自公開強調安全嘅實驗室（例如Google嘅Gemma家族），佢哋嘅模型單次到多輪測試嘅差距通常比較窄；而一啲以能力為先嘅實驗室（例如Meta嘅Llama、xAI嘅Grok），差距就比較闊。企業喺選擇供應商時，應該將呢個文化訊號納入考慮。

使用結構化、可重現嘅評估工具。 Cisco嘅AI驗證平台，而家已經整合到公開嘅LLM Security Leaderboard（LLM安全排行榜），俾企業可以產生可比較嘅多輪風險評分，並將威脅對應到Cisco AI安全框架嘅分類法。喺部署前用一套一致嘅量度工具，可以防止供應商「挑選對自己有利嘅基準測試」。