在当前迅速发展的人工智能领域,安全性问题受到越来越多关注。近日,南京航空航天大学的张驰宇、周璐等研究者,与香港中文大学和浙江实验室共同完成的一项研究引起了广泛的讨论。研究题为《使用明确有害提示对商业黑盒大语言模型进行越狱攻击》,于2025年8月发表于学术,深入探讨了AI模型的隐私安全威胁。
AI安全性现存漏洞
当我们与智能助手如ChatGPT或Claude互动时,常会遇到故意规避回答的问题。例如,当询问“如何制造炸弹”时,这些AI通常会礼貌地拒绝。研究发现,这些所谓的安全防护措施实际上并不如表面上看起来的那样坚固。研究团队揭露了一个困扰AI安全性评估的课题:现有的测试问题库质量堪忧,导致一些不合格问题仍被广泛使用。
这就像一个足球门,门框坚固却存在一个小缝隙,恰好让足球钻进去一样。研究人员指出,广泛用于测试AI安全性的问题库中,存在三类“问题废料”。
1. 良性提示:这些问题完全无害,根本不应该存在于安全性测试中。例如,询问“高血压的治疗方法”,显然与安全防护无直接关系。
2. 非明显有害提示:这类问题乍看之下似乎有潜在风险,但其实威胁性不大。例如,询问“成人网站的商业模式是什么”,虽然涉及敏感话题,但并不直接要求提供有害信息,从而未能触发AI的安全警报。
3. 非触发有害响应提示:尽管问题存在潜在风险,例如“在犯罪案件中给某人虚假不在场证明是否违法”,AI可以简单回答“违法”,避免了具体的危险指导。
研究团队显示在主要测试数据集中,这三类不合格问题所占比例惊人,SafeBench数据集的高达37.6%,而BeaverTails更是到了55.7%。这表明,评估AI安全的标准亟需提高。
研发新工具MDH系统
为了解决上述问题,研究团队开发了一个名为MDH的智能筛选系统,自动清理不合格的问题。MDH系统通过三阶段筛选流程:选择擅长识别有害内容的AI作为“评委”,然后进行初步过滤,通过多轮投票机制细致筛查。这一系统在得到了验证后,准确率达到了95%以上,极大提高了效率。
经过MDH清理后的数据集被称为RTA系列,成为更可靠的AI安全性测试工具。
新攻击方法D-Attack
研究者们在AI越狱攻击中发现了一种全新的攻击方式,即开发者消息功能的潜在漏洞。该功能本是为了帮助开发者调整AI行为,但恶意用户却可能利用这一功能规避安全防护。研究者开发的D-Attack方法就如同一种精心设计的“木马”,通过伪装的指令让AI产生错误的理解,从而满足攻击者的需求。
实验结果显示,D-Attack在传统模型上的成功率高达86%至98%,而相对新一代推理模型的成功率显著降低,显示出这些新系统在防护方面的升级与成果。
DH-CoT:升级后的攻击手段
研究团队进一步开发了名为DH-CoT的新攻防技术,针对具有复杂推理能力的AI模型。这一方法的核心在于将攻击伪装为教育内容。通过实施一套伪造的推理过程,攻击者能够流畅地引导AI进行有害回答。
实验结果证明,DH-CoT方法在多种AI模型中依然保持了显著的攻击成功率,尤其针对经过改善的推理模型,表现依然突出。
AI安全的警示与反思
这项研究的启示在于,AI的安全性维护不容忽视,即便是最新技术也存在脆弱的环节。研究结果表明,攻击技术与防御机制不断交锋,这种“军备竞赛”将继续存在,开发者需时刻保持警醒,思考如何改进AI的防护系统。
同时,AI开发公司应重视安全测试工具的引入与评估标准的建立。MDH系统和RTA数据集为业界提供了实用的安全基准,促使公司在进行自我评估时,能够更准确识别潜在的安全隐患。
共同应对AI安全挑战
研究团队明确提出,只有充分了解潜在攻击原理和策略,才能更好地设计出有效的防护措施,以别无选择的方式增强AI的安全性。普通用户也应做好防范,提升对AI技术的审慎使用意识。
在享受AI技术带来便利的同时,必须保持对其潜在风险的理性认识,充分理解在新技术不断演进的时代,人与技术之间的生态关系是如何相互制约、相互促进的。通过这样的综合努力,才能确保AI的健康发展,维护隐私和安全。