TRIAD框架：用生存预测理论构建多轮多模态攻击的主动防御体系

针对多模态大语言模型（MLLMs）在多轮对话中面临的分布式渐进式跨模态攻击，研究者提出TRIAD三层异常防御框架，将安全验证转化为动态生存预测问题，通过结构异常检测、轨迹拓扑分析和时变Cox风险模型，实现对恶意漂移的提前预警。

传统对抗攻击聚焦单轮输入扰动优化，但新型分布式渐进式攻击将恶意意图分散到多轮多模态对话轨迹中，通过累积性结构污染达成目的。这类攻击具有非平稳性（策略随对话动态调整）和累积性（恶意效应逐步叠加）特征。现有静态防御受限于马尔可夫假设，仅根据当前状态判断，忽视历史异常累积模式。

第一层防御聚焦特征空间几何结构变化。在高维嵌入空间中，多轮对话语义形成特定分布模式，攻击者注入恶意内容会引发协方差偏移。TRIAD采用Ledoit-Wolf正则化的马氏距离量化偏移（高维稀疏场景下数值稳定性更好），建立对话状态统计画像，持续监控每轮对话在嵌入空间的位置与历史分布的偏离程度，检测到显著协方差偏移时提升警戒级别。

第二层引入微分几何视角，将对话轨迹视为流形上的曲线。通过计算轨迹的曲率、挠率和加速度向量，区分两种运动模式：

• 良性探索：语义轨迹呈布朗运动特征，方向随机，加速度符合正态分布；
• 恶意漂移：轨迹具定向性，加速度向量持续指向危险区域，形成显著定向漂移。 该层核心为拓扑轨迹加速度计算，通过滑动时间窗口计算几何特征，并与历史良性轨迹分布进行假设检验，检测到异常加速模式时触发细粒度分析。

第三层是决策核心，将前两层几何特征整合到时变Cox比例风险模型中。定义“失效事件”为模型输出违反安全策略的时刻，“生存时间”为对话开始到违规的预期时间。模型时变性体现在风险系数随对话进展动态调整，通过贝叶斯隐马尔可夫模型（HMM）反馈回路实时更新对话风险状态估计，具备预测性——不仅检测已发生异常，更能预测未来违规概率分布。

TRIAD提供严格理论保证：对抗扰动下，框架期望失效时间存在数学上界，恶意轨迹加速度呈正向发散，可在攻击到达临界点前预警。计算效率方面，协方差监控通过增量更新实现，轨迹几何特征计算可并行化，Cox模型推断有成熟近似算法，整体推理延迟达毫秒级别，满足在线服务实时性要求。

TRIAD代表AI安全范式转变：从静态到动态（持续监控对话全生命周期）、从检测到预测（事前预警）、从规则到统计（数据驱动模型泛化能力强）。对开发者而言，该框架可作为轻量级中间件部署于推理层，无需重新训练模型。局限包括基线建立（需大量高质量用户交互数据）、误报控制（需精细调参）。未来方向：将强化学习引入防御策略优化、探索跨模态注意力异常检测、构建大规模对抗对话数据集验证鲁棒性。