CrescendoDefense：多层运行时防御框架抵御大模型多轮越狱攻击

CrescendoDefense 是一个轻量级、模型无关的运行时安全框架，专门设计用于防御 Crescendo 风格的多轮对话越狱攻击，通过三层互补防御机制将攻击成功率从 86.67% 降至 26.67%。

• 原作者/维护者: Mahek Nishant Vedant (Delhi Technological University)
• 来源平台: GitHub
• 原项目名: crescendo-defense
• 原始链接: https://github.com/mahek888/crescendo-defense
• 发布时间: 2026年6月

随着大型语言模型（LLM）能力的不断增强，针对它们的安全攻击也在持续演进。传统的越狱攻击通常试图通过单次精心构造的提示词来绕过安全护栏，但近年来出现了一种更具隐蔽性的攻击方式——Crescendo（渐强）攻击。

Crescendo 攻击的核心思想是「渐进式诱导」。攻击者不会直接提出恶意请求，而是通过多轮看似无害的对话，逐步建立上下文、降低模型的戒备心理，最终引导模型生成有害内容。这种攻击方式利用了 LLM 的会话记忆机制，通过「记忆堆叠」「降低护栏的对话」「语义漂移」和「提示伪装」四种机制来实现攻击目标。

由于这种攻击分散在多个对话轮次中，传统的基于单轮提示的审核系统很难有效检测。这正是 CrescendoDefense 框架所要解决的核心问题。

CrescendoDefense 是一个轻量级、模型无关的运行时安全框架，专门设计用于防御 Crescendo 风格的多轮对话越狱攻击。与基于提示级别的传统审核系统不同，该框架分析对话轨迹的演变过程，选择性地中断对抗性上下文的累积，并在最终交付前审计生成的响应。

框架由三个互补的防御层组成，每层针对 Crescendo 攻击的不同阶段进行防护。

第一层负责监控对话轨迹，使用四种语义风险信号来检测渐进式升级模式：

• 绝对风险（D）: 衡量当前对话内容的绝对风险程度
• 语义速度（V）: 追踪对话语义变化的速率
• 语义加速度（A）: 检测语义变化是否在加速，这是 Crescendo 攻击的典型特征
• 累积风险（C）: 评估整个对话历史累积的风险水平

通过综合分析这四个维度的信号，第一层能够在攻击早期阶段识别出可疑的升级模式，为后续防御层提供触发信号。

当第一层检测到可疑升级时，第二层防御被激活。这一层的核心策略是「选择性遗忘」——移除可能被攻击者利用的中间对话脚手架，同时保留关键的上下文锚点。

具体实现上，第二层将对话历史压缩为以下结构：

压缩后的上下文 =
[系统提示]
+ [首轮用户输入]
+ [上一轮用户输入]
+ [最新用户输入]

这种压缩策略有效地破坏了攻击者的「记忆堆叠」和「降低护栏的对话」机制，因为中间那些用于建立信任、引导方向的对话被移除了，模型只能基于关键锚点进行响应。

第三层在响应即将交付给用户之前进行最终审计。它使用语义相似度技术，将生成的响应前缀与不安全完成特征库进行比对，检测以下类别的有害内容：

• 恶意软件辅助
• 网络钓鱼辅助
• 网络攻击利用
• 个人敏感信息收集
• 化学危险品相关
• 犯罪活动协助
• 其他受限内容

这种「最后一道防线」的设计确保了即使攻击成功绕过了前两层的检测，仍然有机会在内容输出前进行拦截。

CrescendoDefense 的设计强调轻量化和模型无关性。当前实现支持以下模型：

• Llama-3.2-3B-Instruct: 作为主要防护目标模型
• all-MiniLM-L6-v2: 用于语义嵌入和相似度计算

项目代码结构清晰，核心模块包括：

src/
├── config.py          # 配置管理
├── pipeline.py        # 主流程编排
├── layer1_detector.py # 第一层检测器
├── layer2_eviction.py # 第二层上下文压缩
└── layer3_verifier.py # 第三层响应审计

这种模块化设计使得框架易于扩展和维护，开发者可以根据需要调整各层的阈值策略或添加新的检测规则。