CrescendoGuard：抵御多轮越狱攻击的LLM安全防御框架

CrescendoGuard是针对Crescendo式多轮对话越狱攻击的可复现防御框架，通过多层缓解管道和累积风险评分机制保护LLM。该框架基于Llama 3.2 3B Instruct构建，支持DryRun模拟器（可复现基准测试）和真实模型客户端，开源且可复现，为AI安全提供"全对话轨迹监控"的防御思路。

Crescendo攻击是一种渐进式越狱技术，利用LLM的上下文记忆能力，通过多轮看似无害的对话逐步建立叙事基础，累积导向有害内容。它绕过传统关键词过滤和单轮安全检测，是LLM安全的重要威胁。

CrescendoGuard的核心架构包括：

1. 风险检测层：多维度扫描（危险类别识别、行为信号检测、记忆堆叠检查、语义漂移监测、安全研究折扣），计算累积风险分数（指数衰减加权）；
2. 分层缓解管道：RollingRiskGate（前置拦截/重写）、ContextQuarantine（上下文隔离）、PostResponseVerifier（输出验证）；
3. 双模式模型：DryRunLlamaModel（确定性模拟器）、HuggingFaceLlamaClient（生产部署）。

框架的关键创新点：

• 累积风险计算：采用指数衰减加权算法（cumulative_risk = Σ(risk_i × decay^(current_turn - turn_i))），平衡近期与历史风险；
• 确定性基准测试：DryRun模拟器确保测试结果一致，便于学术复现；
• 模块化配置：通过JSON文件自定义阈值、权重等规则，无需修改代码。

CrescendoGuard的应用场景包括：

1. 企业级LLM API服务的安全防护；
2. 组织内部AI助手的风险控制；
3. AI安全研究的可复现测试环境；
4. 帮助开发者理解多轮攻击防御的教育工具。

当前框架的局限：

• 基于Llama 3.2 3B，对大规模模型可能需调整阈值；
• 正则表达式检测可能漏过新颖攻击变体。 未来方向：集成语义相似度模型提升检测泛化能力。

CrescendoGuard代表LLM安全防御从单轮检测转向全对话轨迹监控的方向，其开源可复现特性为AI安全社区提供了宝贵研究基础。随着对话式AI复杂化，这种"整体视角"的防御方法将更重要。