被绕过,而非被破坏:越狱如何压制少数几个安全注意力头
2026 年 6 月底的一篇论文表明,越狱并未抹去模型的安全特征:它只是让前几层的少数注意力头噤声,而中间层的注意力头仍在标记有害内容——这是防御者可以免费读取的稳健信号。
这是什么?
人们常假设:一次成功的越狱会移除模型的安全行为——一旦提示词奏效,模型就”忘记”了该请求是有害的。2026 年 6 月底发布于 arXiv 的一项机制性研究《Robust Harmful Features Under Jailbreak Attacks: Mechanistic Evidence from Attention Head Specialization in Large Language Models》(arXiv 2606.28153)提出了相反的观点。攻击并未全面消除安全特征,而是有选择地压制一小组特定的注意力头;即便越狱成功,其余注意力头仍在编码该请求的有害语义。
这篇论文的核心表述可归结为一句话:安全对齐是被绕过而非被破坏——而幸存下来的信号可直接用于防御。
工作原理
对齐模型中的拒答由激活空间里的单一方向所主导。作者以此为起点,将中间层的这一”拒答方向”沿每个注意力头的输出电路向后追溯,以衡量每个头对拒答决策的贡献。通过比较良性输入、普通有害输入与成功越狱输入下的激活,他们识别出两类功能不同的注意力头:
注意力头类型 位置 成功攻击下的表现
-------------------------------- ----------- ----------------------------------
Adversarially Compromised Heads 前几层 在普通有害提示上激活,但
(ACHs) 遭到强烈压制
Safety-Aligned Heads 中间层 在有害提示与被攻击提示上
(SAHs) 都持续激活——稳健
消融实验确立了其因果作用。移除少量 ACH 就足以让一个通常会拒答的模型转向类越狱行为,证实压制 ACH 是绕过拒答的一条充分路径。相反,移除 SAH 会大幅削弱中间层的安全激活——这将 SAH 标定为作者所称”稳健有害特征(Robust Harmful Features)“的来源:即攻击未能抹除的、对有害意图的持久内部表征。词元级归因显示,ACH 的压制正是由攻击模板词元(越狱的包裹文本)所驱动,而中间层的头则对整段提示都做出稳健响应。
由于这一有害信号得以幸存,作者构建了一个免训练检测器,仅读取这些持久激活——无需微调,也无需辅助的裁判模型——并报告其检测性能可与专用安全分类器相媲美,即使在对抗条件下亦然。证据主要基于 Llama-3 系列,并在一个 700 亿参数模型上做了扩展性验证。
为何重要
这重新定义了越狱究竟是什么。如果一次攻击只是把拒答决策掩盖在前几层的少数几个头中,而非摧毁模型”该请求有害”的理解,那么在越狱得逞之后,防御者并非从零开始:有害语义仍然存在,就在更深一层,且可被观察。这项工作延续了一条研究脉络,即当前模型的安全性分布并不均匀:早先研究表明,消融少数几个”安全头”即可剥除拒答(arXiv 2410.13708,ICLR 2025),后续工作则主张应将对齐分散到更多的头上,而非让其脆弱不堪(arXiv 2508.19697,2025 年 8 月)。
需要坦率说明的一点:这是针对开放权重模型的可解释性研究,其激活可被直接读取。这一切都无法针对只能通过网络访问的闭源 API 运行;读取内部状态的检测器是对输入/输出控制的补充,而非替代。
防御
对于自行托管开放权重模型的团队,实用要点很具体:
- 读取你本已产生的残差流。 中间层安全激活的持久性意味着,即使表层越狱得逞,基于激活的探针仍能标记有害请求。先将其接入日志与限流,再考虑接入硬性拦截,做法可参考基于激活的越狱检测。
- 将”集中”视为隐患。 如果拒答决策由前几层的少数头承载,它们便是单点故障。优先采用能将安全行为分散到众多头上的对齐方法,并测试当小规模头子集被扰动时还能保留多少拒答。
- 保留文本层面的防御。 正是攻击模板词元压制了脆弱的头,因此输入净化与指令层级仍能缩小抵达模型的攻击面。
- 每次权重变更后重新基线化。 某个头属于 ACH 还是 SAH 因模型而异;微调、LoRA 适配器或量化都可能移动该信号,故变更权重时应重新拟合任何探针。
- 闭源模型用户:把它变成对供应商的诉求。 你无法探测 API 内部——推动供应商公开安全信号遥测,在此之前依靠输出侧的控制。
状态
| 项目 | 参考 | 日期 | 说明 |
|---|---|---|---|
| 稳健有害特征 / ACH–SAH 专门化 | arXiv 2606.28153 | 2026-06 | 消融约 8 个前层头即可翻转拒答;中间层头保持稳健;免训练检测器 |
| 安全集中于少数头 | arXiv 2410.13708(ICLR 2025) | 2024-10 | 以 Ships/Sahara 归因关键安全头 |
| 将安全分散到更多头 | arXiv 2508.19697 | 2025-08 | 主张分散原本脆弱的对齐 |
真正的转变在于视角:越狱从外部看似乎是彻底的,但在模型内部,有害信号依然存在。在开放权重系统上,防御者可以读取它——而这种持久性本身就是一项防御资产。