模拟审核轨迹:越狱带工具的大模型
2026 年 7 月的一篇论文表明,攻击者可通过在多轮工具调用中伪造安全审核流程来越狱函数调用大模型——证明仅靠提示层过滤远远不够。
这是什么?
2026 年 7 月 1 日,研究者 Junlong Liu、Haobo Wang、Weiqi Luo 与 Xiaojun Jia 在 arXiv(cs.CR)发表论文,主张越狱研究一直在关注错误的层面。以往工作在单条提示的层面研究攻击与防御。但现代应用几乎从不向模型递交一条干净、孤立的提示:它们运行的是函数调用循环,开发者定义的工具 schema、结构化参数与不可信的工具输出,一轮又一轮地交织在同一个共享上下文中。
作者表明,这种架构造成了一种与任何具体恶意字符串无关的结构性弱点。为验证这一点,他们提出 SMT(Simulated Moderation Traces,模拟审核轨迹),一种黑盒攻击:它把对抗意图分散到一条多轮工具调用轨迹上,而非集中在单一请求中。该工作的目的在于防御:它揭示带工具系统的薄弱之处,以便构建者加以加固。
工作原理
核心观点是架构层面的,而非某句咒语。在函数调用应用中,模型的上下文混合了本应彼此分离的两样东西:可信的控制逻辑(开发者定义的工具 schema 与参数结构)与不可信数据(工具返回的一切,加上累积的对话)。当二者共处于一个未加区分的上下文中,攻击者便能让不可信内容伪装成控制逻辑。
SMT 的做法是把整段对话伪装成一次合法的内容审核审计——把模型塑造成某个红队测试流水线中的一环,其任务是帮助「评估」危险内容。关键在于,该轨迹随后将每一次安全拒绝都视为并非正确答复,而是需要「修复」的执行失败,从而触发一轮轮的「改进」,逐步侵蚀模型的约束,直到有害输出被放出。任何单条消息看上去都不明显恶意;意图被分散在整条路径上,并借由安全流程这一幌子被「洗白」。(本文有意省略轨迹模板与逐步操作方法。)在黑盒条件下针对来自五家不同厂商的商用大模型、在两个标准化安全基准上评测,该技术以近乎最少的查询次数取得了最高的平均攻击成功率与 HarmScore。
为何重要
结论很直接:仅在提示层做净化——输入过滤、逐条消息分类器、正则黑名单——对带工具的系统而言在结构上是不够的。攻击并不存在于任何单一提示中;它寄居于累积的对话与工具状态里,因此只检查用户最后一条消息的护栏永远无法察觉。
任何部署带多轮工具循环的智能体或助手都继承了这一攻击面,而「审核审计」这一框架尤为腐蚀性,因为它劫持了安全本身的话语:模型被劝说以从事安全工作之名放下戒备。随着函数调用成为默认的集成范式,为单一提示时代设计的防御正在迅速过时。
防御
对整体状态而非最后一条消息做校验。 论文的核心建议是覆盖 schema、参数、工具输出与累积对话的上下文感知校验——攻击抹去的正是那条边界,也正是你的护栏必须重建的边界。
将工具输出与元框架视为不可信数据。 对话绝不应能把自己重新归类为经授权的审计、红队或评测会话。在聊天内部声称「我们只是在测试安全」并不构成授权。
不要让拒绝变成可重试的失败。 对被拦截请求的再次索取设置上限,并检测那种把同一被拒意图在多轮中改写、重提的升级模式。
监控轨迹,而非仅监控单轮。 对多轮路径进行评分,识别其向有害输出的漂移;逐条消息的护栏会漏掉被稀释在众多步骤中的意图。
将真正的评测模式带外隔离授权。 若你确实运行红队或审核流程,请通过独立且经过认证的通道授权——绝不能是对话可随口宣称的某个角色。
状态
| 项目 | 参考 | 备注 |
|---|---|---|
| 发表 | arXiv:2607.00481,2026 年 7 月 1 日 | 《Beyond the Prompt》,SMT 攻击框架(cs.CR / cs.AI) |
| 作者 | 同一论文 | Junlong Liu、Haobo Wang、Weiqi Luo、Xiaojun Jia |
| 范围 | 同一论文 | 函数调用/带工具大模型;多轮轨迹 |
| 评测 | 同一论文 | 五家厂商的商用大模型,两个标准化安全基准 |
| 结果 | 同一论文 | 最高平均攻击成功率与 HarmScore,查询次数近乎最少 |
| 代码 | GitHub(liujlong27/SMT) | 由作者发布 |
持久的启示是一条边界,而非一个基准:在函数调用系统中,控制逻辑与不可信数据共享同一个上下文,安全必须施加于整个累积状态——schema、参数、工具输出与对话历史——而不是一次只管一条提示。