系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

归因图:在模型内部诊断越狱为何奏效

2026 年 7 月的一篇论文,在成对的安全与越狱提示上比较模型的内部计算图,找出绕过背后的因果电路,再对其进行干预以加固模型。

2026-07-13 // 6 min affects: open-weight-llms, llm-agents

What is this?

2026 年 7 月上旬,一篇题为 Mechanistic Interpretability of LLM Jailbreaks via Internal Attribution Graphs 的论文发布到 arXiv(编号 2607.07903)。它提出了一个大多数越狱研究只从外部回答的问题:当一个对抗性提示越过模型的安全对齐时,网络内部究竟发生了什么变化 才使之成为可能?

该方案是一套白盒诊断框架。它不以输入和输出来评判模型,而是将模型的内部计算重建为潜在特征之间因果交互的图,然后把良性提示的图与其越狱变体的图进行比较。这是针对开放权重模型的教育性、防御性可解释研究——这里没有任何可操作的漏洞利用,只有一种用于理解与加固的方法。

How it works

其基本单元是归因图,一种电路追踪技术,Anthropic 在 2025 年初将其整合成型。对于一个给定提示,归因图描述了嵌入、稀疏特征与输出 logits 如何相互影响——本质上是模型在这一具体输入上推理过程的接线图。

这项 2026 年 7 月的工作成对构建这些图:一个用于无害请求,一个用于绕过拒绝的对抗扰动版本。随后它把两者之间的差异分解为三类结构——不变的(攻击未改变的部分)、被抑制的(越狱关闭的通路)和新出现的(越狱开启的通路)。跨许多提示对反复出现的模式成为漏洞母题:攻击将计算从拒绝电路引开的典型方式。

关键在于,该框架并不止步于描述。它对单个节点、路径和子图执行因果干预——将其关闭或强化——以衡量每一部分对攻击成功的贡献。正是这一步把相关性变成了诊断:你不再只是发现越狱”莫名其妙”地成功了,而是能指出具体负责的内部结构。

Zenity Labs 的一项应用分析展示了这些图所暴露的信号类型:在一个对抗性提示上,他们观察到图从 29 个节点坍缩到 14 个、从 80 条边坍缩到 19 条,即从宽泛的并行处理转向狭窄的顺序路径——这是攻击扰乱正常计算的可见指纹。

在多个开放权重模型和多种越狱基准上,论文报告称这些图的结构性偏差与不安全行为高度相关,且针对所识别母题的定向干预可以可测量地提升鲁棒性。

Why it matters

几乎所有已部署的越狱防御都是行为层面的:输入端的分类器、输出端的审核、在表示空间中调校的拒绝方向。这些方法告诉你某个提示危险的,却不告诉你模型为何屈服。归因图诊断在更深一层运作,直抵决定结果的电路——与 JailbreakLens 等先前工作以及其他基于表示的检测努力属于同一领域,但采用的是显式的因果检验,而非静态探针。

对防御者而言这很重要,因为它为打地鼠式的修补指出了一条出路。如果一族越狱共享某个漏洞母题,加固该母题可以泛化到整族,而不必去追逐一个个字符串。它也与”安全头往往是被绕过而非被破坏”的研究相呼应:如果拒绝机制完好却被改道,那么正是电路层面的视角才能看清这条绕行路径。

诚实地说,其局限与所有机理研究相同。它需要访问内部激活,因此更适合自托管的开放权重模型,而非封闭 API。而且,在某个基准上发现的母题只有在能够泛化时才有用——这是这条研究路线与所有表示层防御共有的保留条件。

Defenses

红队而非仅仅打分中使用归因图诊断。当越狱成功时,重建成对的图以了解哪些内部结构失效,从而修复一类绕过,而非单个提示。

先加固母题,再重新检验泛化。论文中对漏洞母题的定向干预提升了鲁棒性,但在信任之前请确认收益能迁移到留出的攻击——只封住训练提示的干预不过是做戏。

将可解释性视为诊断工具,而非运行时护盾。电路分析用于解释并指导加固;它不能取代输入过滤、输出审核、最小权限的工具范围,以及对高影响操作的人工确认。

牢记部署边界。这类防御假设你能读取模型的激活,现实中这意味着自托管的开放权重部署;对于封闭 API 模型,你仍需回到行为层面的控制。

Status

项目详情
披露arXiv 预印本 2607.07903,2026 年 7 月上旬
类型白盒诊断——成对的内部归因图 + 因果干预
机制将图差异分解为不变 / 被抑制 / 新出现的结构;识别漏洞母题;通过干预检验贡献
评估对象在对抗性与越狱基准上的多个开放权重 LLM
主要局限需要访问内部激活(自托管开放权重);母题在训练基准之外的泛化

Sources