系统:运行中
← 返回所有攻击
JAILBREAK CRITICAL NEW

诗歌与故事:形式改写如何越狱前沿大模型

2025–2026 年的两项研究表明,将有害请求改写成诗句或普罗普式民间故事,即可绕过几乎所有前沿模型的对齐机制——这是一整类攻击,而非孤立技巧。

2026-07-09 // 6 min affects: frontier-llms, gpt, claude, gemini, llama, mistral, deepseek, qwen

这是什么?

2025 年 11 月 19 日,来自 DEXAI–Icaro 实验室、罗马大学(Sapienza)与圣安娜高等学校的团队发表了 Adversarial Poetry as a Universal Single-Turn Jailbreak Mechanism in Large Language Models(2026 年 1 月 16 日修订)。一个月后,即 2025 年 12 月 16 日,同一团队又推出了 From Adversarial Poetry to Adversarial Tales。两篇论文共同揭示了一件比”巧妙提示词”更普遍的事:把有害请求改写成固定的结构形式——一首诗,或一则需要被”分析”的故事——就能让模型在单轮之内从拒绝转为配合,而请求的潜在意图并未改变,也不需要任何迭代优化。

这属于公开的、防御性的研究。本文不引入任何新攻击,也不复现任何攻击载荷。真正重要的是它暴露出的这一类弱点,以及防御方应如何应对。

工作原理

诗歌研究将有害请求映射到风险分类体系(MLCommons 与欧盟行为准则),再用诗句重新表达。手工创作的诗歌平均攻击成功率(ASR)约为 62%,部分厂商超过 90%。一个标准化的元提示(meta-prompt)把 1200 条 MLCommons 请求转换为诗句,平均 ASR 接近 43%——仍比同样请求的散文形式高出多达 18 倍。攻击成功可迁移至 CBRN、操纵、网络攻击与失控等类别,输出由三个开源权重评审模型组成的集成进行评估,并在人工标注子集上得到验证。

第二篇论文将该机制推广。“对抗性故事”(Adversarial Tales)把有害内容嵌入赛博朋克叙事,并要求模型对故事进行受弗拉基米尔·普罗普民间故事形态学启发的功能分析。通过把请求包装为对叙事的结构性拆解,攻击诱导模型将有害流程重构为看似正当的文学阐释。在来自九家厂商的 26 个前沿模型上,平均 ASR 达 71.3%,没有任何模型家族被证明可靠稳健。

两种技法共享同一特征:有害意图被保留,却被包裹进一种受文化推崇的结构中,且攻击在单轮内完成,无需升级、自适应探测或基于反馈的优化。作者的假设是:安全训练过度依赖请求的表层形式——其散文分布与词汇线索——因此比喻性与叙事性的框架会把内部表征推离通常触发拒绝的路径。这与此前的语域切换结果密切相关,例如同人文语域越狱,也与表明越狱会通过共享表征迁移的研究一致。

为何重要

正是这种组合使问题变得严峻:单轮、低门槛,且可在不同厂商与不同安全训练方法之间迁移。由于不存在可供匹配的已知恶意字符串,那些寻找可识别攻击文本的输入过滤器与关键词黑名单什么也看不到。而且这是一攻击,而非单一技巧:作者认为,能够承载有害意图的文化编码框架空间极其庞大,“仅靠模式匹配防御很可能无法穷尽”。针对诗歌调优的防御对故事毫无作用,反之亦然。

有两点保留使风险呈分级而非绝对。成功由评审模型集成来衡量,而”成功”的越狱并不意味着输出在操作层面具有危险性——许多有害补全是不完整或错误的。稳健性也因模型而异:有些模型的抵抗力明显更强。这一发现是当前对齐的系统性弱点,而非能交出可用武器的万能钥匙。

防御

  • 不要再依赖表层模式。 关键词过滤、字符串黑名单以及基于散文校准的输入分类器,恰恰是这一类攻击设计要绕过的对象。把它们当作一层浅层防线,绝不能作为防御的全部。
  • 把检测转向意图。 故事论文自身的建议是一套机械可解释性研究议程:识别并约束被比喻与叙事框架利用的内部子空间,并训练模型在不依赖表层形式的情况下识别有害意图。这与基于表征的越狱检测以及”安全注意力头可被绕过而非被破坏”的告诫相一致。
  • 以风格多样性开展红队测试。 只测试散文的安全评估会完全漏掉这一点。请把风险分类体系的诗歌与叙事改写纳入测试,并按模型报告易感性,而非只给出单一平均值。
  • 审查输出,而不仅是输入。 无论请求以何种形式呈现,都要筛查补全中的有害内容,并把高后果能力(CBRN、网络攻击)置于额外的独立控制与人工监督之后。
  • 假定纵深防御。 正如致命三元组所示,任何单层都无法独撑。请把意图级检测、输出分类与能力隔离结合起来,让一个绕过对齐的框架仍会撞上另一道屏障。

状态

属性结论
披露公开研究——诗歌 2025 年 11 月 19 日(2026 年 1 月 16 日修订),故事 2025 年 12 月 16 日(2026 年 1 月 16 日修订)
机制将固定的有害意图改写为诗句或普罗普式故事;单轮,无优化
诗歌 ASR手工约 62%,元提示约 43%;部分厂商 >90%;最高达散文的 18 倍
故事 ASR26 个模型/9 家厂商平均 71.3%;无家族可靠稳健
规避无已知恶意字符串——输入模式过滤器无法识别
保留由评审模型打分;成功 ≠ 可操作输出;稳健性因模型而异
建议防御机械可解释性审计;意图级检测;风格多样化红队测试

重新框定正是关键教训:一套只关注请求”怎么写”、而不关注它”要什么”的对齐,只要改变写法就会被击败。在模型学会识别表层形式之下的有害意图之前,结构化的框架还会不断换上新的外衣。

Sources