系统:运行中
← 返回所有攻击
JAILBREAK MEDIUM NEW

扩散式大模型为何能抵御越狱——直到上下文嵌套出现

扩散语言模型能在生成过程中纠正许多越狱尝试,相较自回归模型具备安全优势。但 2026 年的研究表明,上下文嵌套攻击可绕过这一防线。

2026-07-09 // 7 min affects: llada, llada-1.5, dream, diffusion-llms

这是什么?

扩散式大语言模型(D-LLM,有时写作 dLLM 或 LLDM)是当前主流自回归模型之外一种快速兴起的替代架构。它不再从左到右逐个生成 token,而是从一段完全被掩码的序列出发,在固定步数内进行“去噪”,并行细化多个位置,且每次预测都同时依据其左侧右侧的上下文。LLaDA、LLaDA-1.5 与 Dream 等开源模型让这一架构变得可用,随之而来的安全特性也与既有越狱研究所依赖的一切都不相同。

一批发表于 2025 年 7 月至 2026 年 5 月 之间的工作勾勒出了这一特性。最早针对扩散模型的越狱研究——The Devil behind the maskarXiv,2025 年 7 月 15 日)与 Jailbreaking Large Language Diffusion ModelsarXiv,2025 年 7 月 25 日)——表明并行解码机制打开了自回归防御从未预料到的攻击路径。随后,2026 年 2 月的论文 Safer by Diffusion, Broken by ContextarXiv,2026 年 2 月 1 日)解释了这些模型为何既对某些攻击异常稳健,又被另一些攻击干净利落地攻破。

工作原理

先说反直觉的发现:扩散解码往往会修复正在进行的越狱。由于每一步去噪都会重新评估整段序列,早期出现的放行或有害片段可能在后续步骤中被纠正。Safer by Diffusion 的作者将其形式化为回复与“安全区域”之间距离的“逐步缩减”,并在梯度攻击下于 LLaDA-1.5 上直接测量:随着去噪推进,生成轨迹重新趋向拒答。经验上,在 HarmBench 上,针对多种前沿越狱攻击,所评估的 D-LLM 的攻击成功率低于自回归模型 GPT-4o。可称之为“安全红利”。

失效模式才是关键所在。并非所有攻击都会随去噪步骤衰减。上下文嵌套——把有害请求嵌入一个看似无害的结构化任务中,例如要求模型“补全”或“分析”一段恰好包含该请求的模板——会使安全距离在整条去噪链上始终维持在高位,逐步纠正机制因此从未启动。在该论文的黑盒测量中,这一简单范式在 LLaDA 与 LLaDA-1.5 上取得约 86–87% 的(评审模型评估的)成功率,可与需要访问模型掩码解码的白盒攻击相媲美。2026 年的另两篇论文探查了相邻的薄弱环节:Re-Mask and RedirectarXiv,2026 年 4 月 11 日)利用了 token 一旦去噪便难以撤回这一点——攻击者可加以引导的不可逆性。理解这一攻击类别无需任何可执行的攻击载荷:其机制源于架构本身。

为何重要

现实教训在于:安全直觉无法在架构之间迁移。一套基于自回归模型调校的红队测试,可能把扩散模型判定为更安全,恰恰是因为它从未测试真正对其奏效的攻击族。出于时延、成本或填充能力而评估或采用扩散骨干的团队,继承的是一个不同的威胁面,而非更小的威胁面。随着这些模型从研究检查点走向产品与智能体后端,“通过了我们现有评测”与“确实难以越狱”之间的差距正在拉大。目前受影响的是开源研究模型,因此现实严重性仍属中等,但该架构正在迅速商业化。

防御

防御必须针对解码过程本身,而不仅是输入与输出。最直接的路线是在去噪过程中进行对齐:近期工作在随机掩码下训练 token 级别的安全行为,使模型能在任意解码步骤对有害内容发出序列结束信号,而不依赖从左到右的拒答——据报道,这一方法可将模板预填充攻击的成功率压向零。The Safety-Aware Denoiser for Text Diffusion ModelsarXiv,2026 年 5 月 12 日)将安全检查内建于去噪器,而非在最终文本上外挂分类器。除模型层面的修复之外,防御方还应:使用为并行解码设计的攻击族(上下文嵌套、掩码模板预填充)来评估扩散模型,而非套用自回归测试集;在服务栈暴露中间状态时,对中间状态与最终状态一并进行输出审核;并将用户输入中任何“补全”或“分析”式的包装都视作潜在的嵌套向量。最重要的是,切勿把在旧有越狱基准上的低分当作该架构安全的证据。

状态

项目情况
受影响模型开源 D-LLM,含 LLaDA、LLaDA-1.5、Dream(研究检查点)
攻击类别架构层面(并行去噪);公开、研究中可复现
最早公开工作2025 年 7 月(扩散专属越狱)
机制分析2026 年 2 月(Safer by Diffusion, Broken by Context
所引最新防御2026 年 5 月(安全感知去噪器)
此处可执行漏洞无——仅为防御/教育性综述

Sources