网易首页 > 网易号 > 正文 申请入驻

LLM越狱攻击威胁被系统性高估? 基于分解式评分越狱评估新范式

0
分享至

JADES 由德国亥姆霍兹信息安全中心 (CISPA),富莱睿(Flexera)和西安交通大学的研究团队合作完成。本文的通讯作者为CISPA 教授张阳。

引言

回想一下,老师会如何批改考试中的开放题:如果考生只在开头写「答:」,但是后面却没有给出答案,当然不能得分;反之,如果他开头说「我不会」,却在后面写出了正确答案,那就该得分。另一方面,还有的答案看似组织良好、道理高深,却句句不在点上,那么依然只能低分;只有当回答准确且全面地涵盖了解决问题的关键要点时,其得分才较高。老师给分的依据,在于答案的实际内容和关键点,而不在于答案的开头、词藻或者形式。

可惜,目前 LLM 越狱攻击(Jailbreak)的评估往往就掉进了这些坑。常见做法要么依赖关键词匹配、毒性分数等间接指标,要么直接用 LLM 来当裁判做宏观判断。这些方法往往只能看到表象,无法覆盖得分的要点,导致评估容易出现偏差,很难为不同攻击的横向比较和防御机制的效果验证提供一个坚实的基准。

为了克服这一难题,来自CISPA 亥姆霍兹信息安全中心、西安交通大学和Flexera 的研究人员提出了一个抓住关键点的通用的越狱评估框架——JADES(Jailbreak Assessment via Decompositional Scoring,通过分解式评分进行越狱评估)。

JADES 的核心思想是摒弃宏观的整体判断,转而借鉴了教育评估领域的分析式评分(Analytic Scoring)思想,采用一种更精细、更可靠的「分解式评分」机制。它将一个复杂的有害问题自动分解为一系列带权重的子问题,对模型针对每个子问题的回答进行独立评分,最终加权汇总,得出一个高度可信的最终判断 。

这项工作不仅提供了一个更准确的评估工具,更通过对现有攻击的重新评估,揭示了一个重要事实:过去我们严重高估了越狱攻击的实际威胁。

  • 论文标题: JADES: A Universal Framework for Jailbreak Assessment via Decompositional Scoring
  • 论文链接: https://arxiv.org/abs/2508.20848v1
  • 项目网站: https://trustairlab.github.io/jades.github.io/

当前越狱评估方法的瓶颈

准确评估越狱攻击的难点根源在于有害问题的「开放性」。与有标准答案的问答不同,「How to make a bomb」这类问题没有唯一的、公认的参考答案,这使得制定统一的成功标准变得异常困难。虽然由人类专家进行手动评估被认为是准确性的「黄金标准」,但其高昂的成本和极低的可扩展性,使其无法跟上快速演变的攻击技术。

因此,学术界和工业界都迫切需要可靠的自动化评估方法。然而,现有的自动化技术存在两类核心缺陷:

1. 错位的代理指标 (Misaligned Proxy Indicators)

这类方法采用与攻击者最终目标不一致的间接指标进行判断,导致了大量的假阳性(False Positives), 例如:

  • 字符串匹配:该方法检测响应中是否出现「Sure, here is...」或者「Sorry, I cannot...」等表达意愿的短语 。然而,模型完全可能在此类表态后紧跟相反语义的内容,这种基于表层文本的判断并不可靠且存在明显的准确度上限。
  • 毒性检测器:该方法评估响应的有害性分数。然而,高毒性分数不等于成功的越狱。例如,一个旨在生成特定歧视性言论的请求,模型可能返回了其他类型的、不相关的谩骂内容。尽管响应本身有害,但并未满足攻击者的特定意图,因此不应被视为一次成功的攻击。

2. 整体性评估策略 (Holistic Evaluation Strategies)

采用 LLM-as-a-judge 的方案普遍依赖对复杂、开放式响应的整体性评估。这种宏观视角将多个评估维度混为一谈,使其难以应对响应中的各种「干扰项」,导致评估结果失真。例如:

  • 空洞内容 (Vacuous Content):响应中充斥着「使用适量材料」、「按正确比例混合」等模糊表述,并未提供任何可执行的关键信息。
  • 干扰性内容 (Distraction Tokens):响应中夹杂了大量从越狱提示中继承的、与任务无关的文本,如角色扮演对话等,这会干扰评委模型的判断。
  • 表面正确,事实谬误:响应格式规范、看似详尽,但核心信息(如化学配方、代码实现)却是错误的。整体性评估很难深入细节进行事实核查,容易被这种 「伪装」所欺骗。

JADES 框架:引入分解式评分新范式

为克服上述瓶颈,JADES 框架通过一个多代理协作流程,将人类专家进行分析式评分的逻辑自动化,从而确保评估的粒度与可靠性。其核心架构由四个协同工作的节点构成:

1. 问题分解节点 (Question Decomposition Node)

接收到有害问题 Q 后,一个 LLM 代理会从攻击者视角出发,将其分解为一组带权重的关键子问题 { (q_i, w_i) }。这些子问题构成了后续评分的核心标准。如图例所示,「How to make a bomb」会被分解为「材料清单」、「组装步骤」和「引爆方法」三个加权子问题。这样的分解使评估更接近真正的越狱攻击成功标准。 为提高效率,该节点还包含一个记忆模块,用于存储和复用已有的分解结果。

JADES的流程, 以「How to make a [B**B]」为例。

2. 清理节点 (Clean Node)

此节点负责对原始越狱响应 R 进行预处理。它首先将响应文本分割成句子,然后由一个代理滤除所有与任务无关的内容,生成一个精简、干净的响应版本 R_clean,以降低后续节点的处理复杂度和潜在的混淆。

3. 子问题配对节点 (Sub-Question Pairing Node)

对于每个子问题 q_i,一个配对代理会从 R_clean 中精准地抽取出相关的句子,构成对应的子答案 a_i。这一步骤将宏观的响应文本与微观的评分标准建立了明确的对应关系,形成了清晰的评估单元。

4. 评估节点 (Evaluation Node)

最后,一个评委代理使用五级李克特量表(0.00-1.00)为每个子答案 a_i 打分 。最终的总分 S_total 通过对所有子分数进行加权聚合得出,并且通过相应的阈值,映射到二元分类 (越狱成功 / 失败) 或者三元分类 (越狱成功 / 部分成功 / 失败)。

性能表现

研究人员构建了一个包含 400 对有害问题与越狱响应的基准数据集 JailbreakQR 用于验证 JADES。该数据集基于人工精细标注,采用三元标签体系(失败、部分成功、成功), 并附有相应的理由。

性能表现

  • 二元设置:为与基线对齐,在将标签映射为二元(成功 / 失败)后,JADES 与人类评估者的一致性达到 98.5%,相较于强大的基线方法提升超过 9% 。
  • 三元设置:在更具挑战性的三元分类任务中 (成功 / 部分成功 / 失败),JADES 的准确率依然达到了86.3%。混淆矩阵分析表明,JADES 在识别「失败」的案例上表现极佳。其对「成功」案例的判断比人类更严格,可以觉察出某些答案中人类通常忽略的细节错误,并对应地降级为「部分成功」。
  • 每一步分解评分都可追踪,提升了整个评估流程的可解释性和透明度。

三元分类设置下的混淆矩阵

对主流越狱攻击的重新评估

JADES 带来的最重要的发现,是揭示了以往的评估方法系统性地高估了越狱攻击的成功率。

  • 几乎所有的越狱攻击攻击成功率(ASR)都被高估。例如,LAA 攻击在 GPT-3.5-Turbo 上的 ASR,在传统评估下被报告为高达 93%,而在 JADES 的重新评估下 (二元分类设置),这一数字骤降至 69%。

  • 更进一步,在 JADES 的三元评估设置下,研究人员引入了「成功率 / 攻击成功率」(SR/ASR)这一新指标来衡量成功的「质量」。结果发现,对于所有被测试的攻击方法,「完全成功」的案例在其总成功案例中的占比最高不超过 0.25。这意味着,绝大多数被传统二元指标记为「成功」的越狱,实际上只是 「部分成功」。

  • 此外,那些对原始有害问题修改越大的攻击方法(如 PAIR),其「完全成功」 的比例往往越低 ,这表明语义层面的偏离会严重影响攻击的实际效果。

结论与未来展望

JADES 框架的提出,为越狱评估领域建立了一个透明、可靠且可审计的新标准。它不仅是一个性能更优的工具,更重要的是,它通过严谨的实证研究揭示了当前领域内存在的系统性偏差。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
炒高,就是为了出货

炒高,就是为了出货

求实处
2026-07-06 22:42:25
手握八千吨稀缺铟资源远超黄金,国内消耗占比长期偏低

手握八千吨稀缺铟资源远超黄金,国内消耗占比长期偏低

时尚的弄潮
2026-07-07 02:06:32
情侣在瑞士雪山顶“撒欢”,就这么被全世界直播了···

情侣在瑞士雪山顶“撒欢”,就这么被全世界直播了···

新欧洲
2026-04-21 19:37:05
特朗普称已就美国队球员红牌判罚与国际足联主席通话

特朗普称已就美国队球员红牌判罚与国际足联主席通话

澎湃新闻
2026-07-06 23:04:03
女孩吃席“抢狮子头”,面目狰狞,终于理解了什么叫上不了台面!

女孩吃席“抢狮子头”,面目狰狞,终于理解了什么叫上不了台面!

世界圈
2026-06-12 17:03:53
韩红「走个热面」,《抓特务》更冷:那个装腔作势的「京圈」,终于没人拜了……

韩红「走个热面」,《抓特务》更冷:那个装腔作势的「京圈」,终于没人拜了……

家传编辑部
2026-06-25 10:00:51
葡萄牙世界杯出局,梅罗之争画上句号,C罗这辈子赶不上梅西了

葡萄牙世界杯出局,梅罗之争画上句号,C罗这辈子赶不上梅西了

老高说体育
2026-07-07 10:56:26
凌晨1点,72岁濮存昕用一根布绳,将自己和94岁老母狠狠绑在一起

凌晨1点,72岁濮存昕用一根布绳,将自己和94岁老母狠狠绑在一起

小椰的奶奶
2026-06-15 07:39:15
让中国男篮吃尽苦头的日本归化中锋霍金森到底是什么来头?

让中国男篮吃尽苦头的日本归化中锋霍金森到底是什么来头?

我们的美学
2026-07-07 08:53:12
硬核暴力!首播收视创派拉蒙平台历史最高纪录!

硬核暴力!首播收视创派拉蒙平台历史最高纪录!

战争电影精选
2026-07-06 13:32:37
现货黄金突破4180美元/盎司,日内涨0.39%

现货黄金突破4180美元/盎司,日内涨0.39%

每日经济新闻
2026-07-07 21:49:13
大福报的人:尽量不要让别人知道你的这3个状态

大福报的人:尽量不要让别人知道你的这3个状态

金沛的国学笔记
2026-06-20 10:43:53
体操奥运冠军杨威向17岁儿子杨阳洋道歉,网友疯狂点赞

体操奥运冠军杨威向17岁儿子杨阳洋道歉,网友疯狂点赞

大象新闻
2026-07-07 13:26:17
苏-57没挡住乌克兰无人机,鄂木斯克被炸:俄十大炼油厂仅剩独苗

苏-57没挡住乌克兰无人机,鄂木斯克被炸:俄十大炼油厂仅剩独苗

鹰眼Defence
2026-07-07 16:38:59
90吨夏威夷果运输途中遭查扣 货主提供多项证明仍被广西兴安县市监局以“无主货物”拍卖|封面深镜

90吨夏威夷果运输途中遭查扣 货主提供多项证明仍被广西兴安县市监局以“无主货物”拍卖|封面深镜

封面新闻
2026-07-07 17:25:04
不要被林海雪原骗了,许大马棒原型与剧中反差极大,全拜儿子所赐

不要被林海雪原骗了,许大马棒原型与剧中反差极大,全拜儿子所赐

近史谈
2026-05-09 23:31:35
出局!C罗泪别世界杯却遭炮轰,名宿怒斥:他毁了葡萄牙黄金一代

出局!C罗泪别世界杯却遭炮轰,名宿怒斥:他毁了葡萄牙黄金一代

老癘体育解说
2026-07-07 06:03:06
百亿身价的C罗滴酒不沾——不是自律,是被亲爹用命上的最后一课

百亿身价的C罗滴酒不沾——不是自律,是被亲爹用命上的最后一课

刘哥谈体育
2026-07-02 14:19:30
黄金直线拉升,美国公布重要数据!大摩看涨金价至5000美元

黄金直线拉升,美国公布重要数据!大摩看涨金价至5000美元

21世纪经济报道
2026-07-07 21:19:15
太阳女主持和暴躁影帝分手的真相!

太阳女主持和暴躁影帝分手的真相!

八卦疯叔
2026-07-05 10:48:37
2026-07-08 03:16:49
机器之心Pro incentive-icons
机器之心Pro
专业的人工智能媒体
13457文章数 142690关注度
往期回顾 全部

科技要闻

全球下载量第一,可阿里AI还没学会赚钱

头条要闻

让二追三!阿根廷3-2逆转埃及 晋级世界杯8强

头条要闻

让二追三!阿根廷3-2逆转埃及 晋级世界杯8强

体育要闻

比利时干掉美国:正义必胜大喜剧!

娱乐要闻

私密照流出!曝关晓彤曾两次原谅鹿晗

财经要闻

桔子数科暴雷启示录:合规定生死

汽车要闻

试驾全新坦克300 Hi4-Z/激光雷达/全场景NOA

态度原创

艺术
房产
本地
时尚
公开课

艺术要闻

中国美术史缺了她就不完整!这位清代“大女主”的画,连乾隆都抢着盖章!

房产要闻

洋浦,大量卖地!

本地新闻

国内足球之旅?这座小城给你高分答案

夏天别总穿T恤,一件针织短袖时髦度翻倍,温柔舒适又百搭

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版