深入解析大模型越狱攻击：用可解释AI技术定位安全机制的失效节点

一项来自CentraleSupélec的研究通过遗传模糊测试与多种可解释AI（XAI）技术结合，首次精确定位了大语言模型在面对越狱提示时安全机制失效的具体层级和token，揭示了越狱并非绕过安全机制而是逐步削弱拒绝信号的内在机理。该研究为大模型安全机制的理解开辟了全新视角，推动安全研究从‘症状治疗’转向‘病因诊断’。

背景：越狱攻击的"黑箱"困境

大语言模型（LLM）的安全对齐技术旨在防止模型生成有害内容，但"越狱"（jailbreak）攻击通过精心构造的对抗性提示词，仍能诱导模型违背安全准则。传统研究多聚焦于检测越狱或防御策略，却鲜少深入探究一个根本问题：当模型从"拒绝"突然转向"服从"时，其内部究竟发生了什么？

来自CentraleSupélec人工智能硕士项目的Ali Dor与Elora Drouilhet在《可解释人工智能》课程中完成了一项突破性研究。他们不仅成功构造了越狱提示，更运用多种可解释AI（XAI）技术，首次精确定位了模型内部导致合规性翻转的具体transformer层级和关键token，为大模型安全机制的理解开辟了全新视角。

研究方法：遗传模糊测试与XAI工具链的结合

研究团队设计了一套创新的混合分析框架，将攻击发现与机制解释融为一体。

遗传模糊测试器：自动化发现越狱提示

研究采用遗传算法驱动的模糊测试方法，以种子提示为起点，通过变异、交叉和选择操作，自动演化出能够突破模型安全防线的提示词。测试覆盖网络安全和恶意软件等多个敏感类别，最终从初始种子中发现了166个经验证的越狱提示（经HarmBench语义过滤后去除17个假阳性），平均有害性评分达到0.99。

多维度XAI分析工具箱

对于每个越狱样本，研究团队构建了完整的XAI分析流水线，综合运用五种互补技术：

1. 积分梯度（Integrated Gradients）

利用Captum库在嵌入层计算积分梯度，识别哪些输入token推动了"服从/拒绝"决策。这种方法能够从"零基线"到实际输入进行插值，量化每个token对最终决策的贡献度。

2. 激活补丁（Activation Patching）

通过nnsight框架实现因果干预：将越狱提示在某一层产生的隐藏状态"补丁"到干净提示的前向传播中，测量合规性变化。这是识别因果关键层的金标准方法。

3. 对数透镜（Logit Lens）

将每一层的隐藏状态投影到最终的语言模型头部，观察模型在哪些层"下定决心"——即P(服从)与P(拒绝)的概率差距何时稳定。

4. 层级发散度（Layer Divergence）

计算干净提示与越狱提示在各层隐藏状态间的余弦距离，识别表征差异最大的位置。

5. 消融测试（Ablation Test）

逐步掩蔽积分梯度识别出的高贡献token，验证归因结果的可靠性。

核心发现：安全机制是如何被"削弱"的

关键层定位：第17-24层承担43%的因果重要性

激活补丁实验揭示了一个惊人的发现：模型43.1%的因果重要性集中在第17至24层。这些层级构成了"安全决策层"，负责处理有害内容的识别与拒绝信号的生成。

更令人意外的是，模型直到最后5层（第34-39层）才最终"下定决心"——在此之前，拒绝与服从的概率差距始终处于波动状态。这表明大模型的安全决策是一个渐进的、多阶段的过程，而非在单一位置完成。

越狱机制：信号衰减而非路径绕过

研究的核心洞见颠覆了传统认知：越狱攻击并非"绕过"安全机制，而是"削弱"拒绝信号。

具体而言，越狱提示中的角色扮演token（如"Imagine"、"protagonist"、"without restrictions"）会逐步衰减第17-24层的安全信号强度，而非注入新的"服从"信号。随着安全信号被削弱，原本狭窄的拒绝边界被突破，模型在最后几层转向服从。

数据显示，越狱前后合规性变化（Δ）在+0.94到+5.06之间，而发散度与因果效应的皮尔逊相关系数高达r=0.95，证明了表征差异与安全失效之间存在强关联。

Token级归因：哪些词驱动了合规翻转？

积分梯度分析提供了细粒度的token级解释。在干净提示（被拒绝）中，"SQL injection"等危险词汇产生强烈的拒绝信号（蓝色）；而在越狱提示中，角色扮演框架词（"Imagine you are..."、"protagonist"）产生的服从信号（红色）成功覆盖了危险信号。

这种归因可视化不仅解释了"为什么这个提示能越狱"，更为设计针对性防御策略提供了精确靶点。

单层级补丁效应：局部干预即可恢复安全

一个令人振奋的发现是：仅对单一关键层进行激活补丁，往往能达到甚至超过完整越狱的效果。这意味着安全机制的失效具有局部性，未来可能通过针对性的层级级防御（如加强第17-24层的拒绝信号阈值）来实现更高效的防护。

技术实现：Mistral Small 3.1上的全栈分析

研究选用Mistral Small 3.1 24B作为目标模型，通过Unsloth框架以4-bit量化加载（约14GB显存占用），在消费级GPU上完成了全部分析。这种配置选择证明了高深度模型可解释性研究并非只有科技巨头才能开展。

项目代码结构清晰，分为模型加载、模糊测试、归因分析、追踪分析和评估五大模块，并提供了从端到端的完整流水线脚本。每个分析的越狱样本生成6张可视化图表，包括token归因热图、五面板综合分析仪表板、对数透镜图等，以及4张跨种子聚合图，形成了丰富的分析档案。

实践意义与未来方向

这项研究的价值远超学术范畴。对于AI安全从业者，它提供了**从"症状治疗"到"病因诊断"**的方法论转变：与其不断修补被发现的越狱案例，不如深入理解安全机制的内在结构，设计更具鲁棒性的对齐策略。

对于模型开发者，研究揭示了安全决策的层级分布特性，提示未来可在训练阶段对关键层施加更强的正则化约束，或设计层级感知的动态安全阈值。

对于更广泛的AI社区，这项工作展示了可解释AI技术在安全研究中的强大潜力——当"黑箱"被打开，攻击与防御都将进入更理性的博弈阶段。

结语

大语言模型的安全对齐是一场持续的军备竞赛。这项研究通过精密的XAI技术，首次将越狱攻击的机理从现象描述推进到机制解释，揭示了安全失效并非源于外部绕过，而是内部信号的渐进衰减。

正如研究所示，当我们能够精确定位"哪里出了问题"，也就迈出了"如何修复"的第一步。在AI系统日益复杂的今天，这种可解释性驱动的安全研究范式，或许正是构建更可信AI的关键路径。