前線 AI 模型全線失守：為何連續追問比單次攻擊更具威脅？

在稍早的開源模型研究中，情況同樣不樂觀。針對 Mistral Large-2 的多輪攻擊成功率高達 92.78%，且所有 8 款開源模型的成功率皆比單次基準高出 2 到 10 倍 。

拆解威脅：五大攻擊策略家族

思科的研究團隊在測試中識別並模擬了目前攻擊者最常用的 五大類多輪攻擊策略 ：

1. 角色扮演 / 人格模擬 (Role-Play / Persona Adoption)：攻擊者藉由扮演某種角色或人設，在看似無害的連續對話中，逐步將話題引導至違禁內容的邊緣。
2. 情境模糊 / 誤導 (Contextual Ambiguity / Misdirection)：將惡意意圖隱藏在看似良性或模糊不清的對話脈絡中，在後續追問時才顯露真正的有害目的。
3. 拒絕重構 / 換句話說 (Refusal Reframe / Redirection)：當模型拒絕執行某項請求時，攻擊者會立刻換個角度重組問題，從另一個方向逐步逼近安全限制的底線。
4. 資訊拆解與重組 (Information Decomposition & Reassembly)：將一個明確違規的請求拆解成數個看似無害的零散步驟，在多個對話回合中分批提問，最終引導模型自行拼湊出危險的答案。
5. 漸進式壓力 / 得寸進尺 (Crescendo / Incremental Escalation)：對話從完全無害的話題開始，像溫水煮青蛙般每次追問都增加一點敏感性，最終在多次互動後磨穿模型的安全防線。

值得注意的是，不同模型在不同策略下的風險落差極大，證明了漏洞不會只集中在某一種攻擊手法上 。

思科給企業的安全部署建議清單

面對這場攻防不對稱戰爭，思科對準備導入大型語言模型的企業用戶提出了以下核心的安全評估與部署建議：

• 拋棄單次攻擊的迷思。 傳統的單次安全基準不僅會誤判模型的真實排名，更會隱藏嚴重的尾端風險。企業評估必須納入多輪、具備適應性的攻擊測試，才能貼近真實駭客的思維 。
• 將多輪評估列為採購標準。 企業與監管機構在採購或放行模型前，應該要優先追問：「這款模型在面對連環追問的適應性攻擊時表現如何？」。
• 建構即時感知的防護機制。 靜態的模型安全設定已不敷使用。組織必須部署能即時偵測異常對話模式與試探性輸入的監控工具與防護欄 。
• 定期執行針對性的紅隊演練。 不僅要模擬單次越獄攻擊，更需特別針對長對話長度的迭代壓力測試，找出潛在的防護弱點 。
• 導入對抗性訓練。 強化模型的強健性，且訓練重心應放在如何讓模型在連續多輪的情況下仍能保持安全準則，而非僅止於第一句提示 。
• 多層次防禦思維。 單一防線絕對不夠。請結合模型層級的對齊、輸入與輸出的內容過濾、行為監控，以及必要時的人類介入把關 。
• 了解開發商的安全哲學。 數據顯示，公開強調安全性的實驗室（如 Google 的 Gemma 家族）其單次與多輪的表現差距較窄；而偏重能力的模型（如 Meta 的 Llama, xAI 的 Grok）落差則明顯較大。思科建議將此現象納入選型的考量 。
• 善用結構化評測工具。 在模型正式上線前，可運用思科的 AI 驗證平台（現已整合至其 LLM 安全排行榜），產生可對比、可重現的多輪風險評分 。