新型越獄攻擊可突破 ChatGPT、DeepSeek 等主流AI服務防護
2025-04-28    FreeBuf

　　研究人員最新發現的兩項越獄技術暴露了當前主流生成式AI服務的安全防護存在系統性漏洞，受影響平臺包括OpenAI的ChatGPT、谷歌的Gemini、微軟的Copilot、深度求索(DeepSeek)、Anthropic的Claude、X平臺的Grok、MetaAI以及MistralAI。

　　這些越獄攻擊可通過幾乎相同的提示詞在不同平臺上執行，使攻擊者能夠繞過內置的內容審核和安全協議，生成非法或危險內容。其中名為"Inception"的技術利用嵌套虛構場景侵蝕AI的倫理邊界，另一種技術則誘導AI透露其禁止響應內容后轉向非法請求。

　　系統性越獄："Inception"與上下文繞過技術

　　近期出現的兩種高效越獄策略利用了大型語言模型(LLM)設計和部署中的基礎性弱點。其中"Inception"技術通過讓AI想象嵌套虛構場景，逐步引導對話至通常會被安全過濾器攔截的請求。攻擊者利用AI的角色扮演能力和多輪對話上下文保持特性，誘使模型生成違反倫理和法律準則的內容。

　　第二種技術通過詢問AI"不應如何響應特定請求"來獲取其內部防護規則信息。攻擊者隨后交替使用正常和非法提示詞，利用AI的上下文記憶繞過安全檢查。CERT公告指出，這兩種方法都利用了AI的基礎設計特性：樂于助人的驅動、上下文保持能力以及對語言和場景框架細微操縱的敏感性。

　　行業影響與潛在風險

　　這些越獄技術具有嚴重危害，攻擊者可借此指示AI系統生成涉及管制物質、武器、釣魚郵件、惡意軟件等非法內容。雖然單個越獄風險等級可能較低，但其系統性漏洞特性顯著放大了整體風險。惡意攻擊者可能利用這些弱點大規模自動化生成有害內容，甚至將合法AI服務作為活動掩護。

　　主流平臺的普遍受影響現狀表明，當前AI安全和內容審核方法難以應對攻擊者不斷演變的戰術。隨著生成式AI在客服、醫療、金融等領域的廣泛應用，成功越獄可能造成嚴重后果。

　　廠商響應與行業挑戰

　　深度求索(DeepSeek)承認報告但表示這屬于傳統越獄而非架構缺陷，稱AI提及的"內部參數"和"系統提示"屬于幻覺而非真實信息泄露。其他廠商雖未公開聲明，但據稱正在進行內部調查和更新。

　　專家強調，事后防護欄和內容過濾器仍是AI安全的重要組成部分，但并非萬無一失。攻擊者持續開發角色注入(character injection)和對抗性機器學習規避(adversarial machine learning evasion)等新技術來利用審核系統盲點。隨著生成模型能力提升和廣泛應用，AI開發者與攻擊者之間的攻防對抗預計將愈演愈烈。

　　安全研究人員David Kuzsmar和Jacob Liddle分別發現了"Inception"技術和上下文繞過方法，Christopher Cullen記錄了他們的研究成果。這些發現促使行業重新審視AI安全協議，亟需建立更強大、自適應的防御機制。隨著生成式AI加速融入日常生活和關鍵基礎設施，保護這些系統免受創造性持續攻擊的挑戰正變得日益復雜。