系统:运行中
← 返回所有攻击
JAILBREAK CRITICAL NEW

思维链劫持:过长的推理轨迹会稀释模型的拒绝信号

一种黑盒越狱把有害请求埋在数千个无害推理 token 之下。轨迹越长,模型内部的拒绝信号越弱——在前沿推理模型上成功率据报道高达 100%。

2026-07-05 // 6 min affects: gemini-2.5-pro, gpt-o4-mini, grok-3-mini, claude-4-sonnet, large-reasoning-models

这是什么?

思维链劫持(Chain-of-Thought Hijacking)是一种针对大型推理模型(LRM)的越狱技术——包括 o 系列、Gemini 2.5 Pro、Grok 3 Mini、Claude 4 Sonnet 等在给出答案前会产生一段冗长、结构化推理轨迹的系统。该攻击既不依赖巧妙的角色扮演,也不依赖经过混淆的载荷,而是先迫使模型完成大量无害推理——一道谜题、一道数学难题、一项多步骤的编程挑战——只在最末尾才抛出有害请求。研究论文(arXiv:2510.26418,《Chain-of-Thought Hijacking》)报告了在 HarmBench 基准上的攻击成功率:Grok 3 Mini 为 100%、Gemini 2.5 Pro 为 99%、ChatGPT o4-mini 为 94%、Claude 4 Sonnet 为 94%。NeuralTrust 于 2026 年 6 月 25 日发表的防御性分析梳理了相同的机制与相同的数据。这一发现之所以重要,是因为它推翻了一个令人安心的假设:给模型更多”思考”时间会让它更安全。

工作原理

论文记录了一种被称为”拒绝稀释”(refusal dilution)的现象。当模型拒绝某个请求时,这种拒绝由其激活值中一个特定的、低维的内部信号驱动;当内部状态与该方向对齐时,模型便给出”我无法帮助你”的回应。核心结论是:这个信号并非固定不变,而是随着推理轨迹变长而减弱。两种效应相互叠加。其一是注意力衰减:注意力机制如同一束聚光灯,当轨迹延伸到数千个 token 时,分配给原始有害提示的相对权重下降,因为模型把注意力预算耗在了自己近期产生的无害思考上。其二是激活减弱:对模型各层进行探测显示,随着轨迹变长,拒绝信号的强度确实在下降。研究者从结构上定位了它——中间层编码安全检查的强度,靠后的层编码拒绝方向本身——并通过消融维持拒绝的那些注意力头来验证因果关系,消融之后模型拒绝的能力便崩溃。这里我们描述的是机制的形态,而非一段可用的提示词;有用的教训在于架构层面,而不是一份操作配方。

为何重要

这并非单一模型的怪癖。同一技术以近乎完全的可靠性绕过了四家厂商、四种架构的安全防护,这表明问题内在于当前推理时算力的扩展方式,而非某一条训练流水线的漏洞。在经典的越狱评估中,一种有 20%–30% 成功率的方法已被视为严重发现;而 94%–100% 的成功率意味着这些模型预期的拒绝行为近乎彻底崩溃。其影响对智能体系统而言尤为尖锐。当我们赋予智能体更多自主权、更长的推理链去解决更难的任务时,这种能提升解题能力的长度,同时也降低了其护栏的可靠性——这是效用与安全之间的直接张力。它还制造了一个监控盲区:当前的安全检查主要审查输入提示与最终输出,但稀释发生在中间,发生在大多数部署从不检视的那数千个内部推理 token 之中。

防御措施

论文自身的结论是:增加安全训练并不能解决问题,因为这是一个动态问题,而非对齐中一个静态的漏洞。防御方向是推理过程中的持续在线校验:在整个推理过程中按间隔重新核查意图,从而重新强化拒绝信号,而不是任其消退,而非只在最开始评估一次安全性。机制可解释性可以转化为一种监控手段:若知道哪些注意力头、哪些激活路径在维持拒绝,就能在这些信号减弱的那一刻发出预警并在生成输出前介入。在实践中,部署推理模型的团队应当加入推理时护栏,检查隐藏的推理轨迹而不仅是最终答案;对出现在敏感请求之前、异常冗长的无害推理前导进行封顶或标记;并保留一个独立的输出侧分类器,使被稀释的内部拒绝不至于成为最后一道防线。对于智能体部署,应施加能在单次不良生成后依然有效的常规隔离:最小权限的工具范围限定、对高影响动作的人工把关、以及在可行时对推理通道进行日志记录。这些措施单独都无法完全弥合缺口——研究者将其定性为一个开放问题——但层层叠加会抬高攻击成本、缩小其影响半径。

状态

这是关于一类推理模型的研究发现,而非某一厂商的 CVE。下表数据取自公开预印本、其项目页面以及 2026 年 6 月的一篇防御性分析。

项目详情
技术思维链劫持(在有害请求前置入冗长、无害的推理前导)
机制”拒绝稀释”:随着轨迹增长,注意力衰减 + 低维拒绝信号减弱
报告的 ASR(HarmBench)Grok 3 Mini 100%、Gemini 2.5 Pro 99%、ChatGPT o4-mini 94%、Claude 4 Sonnet 94%
首次发表预印本 arXiv:2510.26418;防御性分析于 2026 年 6 月 25 日
相关工作H-CoT(arXiv:2502.12893),劫持 o1/o3、DeepSeek-R1 与 Gemini 2.0 Flash Thinking 所显示的安全推理
状态开放问题;提出的缓解手段是推理时校验与基于可解释性的监控,而非补丁

Sources