CrescendoDefense：多层运行时防御框架应对大模型越狱攻击

介绍CrescendoDefense三层运行时防御框架，由Mahek Nishant Vedant开发（来源：GitHub项目crescendo-defense，发布于2026年6月4日）。该框架针对Crescendo式多轮越狱攻击，通过语义运动学检测、策略性上下文驱逐和语义响应审计三层策略，有效降低攻击成功率。

随着LLM广泛应用，Crescendo式多轮越狱攻击成为新型威胁。其核心是通过多轮对话逐步引导模型突破安全边界，难以被传统单轮审查拦截。该攻击有四大机制：1.记忆堆叠（分散恶意意图到多轮对话）；2.防御降低对话（建立信任放松模型防御）；3.语义漂移（渐进式主题转换至危险领域）；4.提示伪装（包装恶意指令为学术/创意场景）。

CrescendoDefense采用三层互补策略： 1.语义运动学检测器：实时监控对话轨迹，通过绝对风险（D）、语义速度（V）、语义加速度（A）、累积风险（C）四个指标识别攻击模式； 2.策略性上下文驱逐：检测到可疑模式时，选择性移除中间内容，保留系统提示、首轮输入、上一轮及最新输入，打断记忆堆叠； 3.语义响应审计器：生成响应后审查，对比不安全完成模式（如恶意软件协助、网络攻击指导等）。

实验设置：目标模型Llama-3.2-3B-Instruct，嵌入模型all-MiniLM-L6-v2，测试场景22个（15对抗、5良性、2混合）。核心结果：原始模型攻击成功率86.67%，完整框架降至26.67%（相对降幅69.2%）；第一层+第二层组合误报率0%；单独前两层可降低攻击成功率一半以上。

结论：框架显著提升模型对多轮越狱攻击的抵抗能力，轻量级且模型无关。应用前景：为开发者提供安全增强方案，为安全研究开辟新方向（如语义运动学检测）。未来方向：自适应阈值调整、动态安全锚点生成、改进上下文保留、与现有安全框架集成、更大规模评估。