SoK: Evaluating Jailbreak Guardrails for Large Language Models

📄 arXiv: 2506.10597v2 📥 PDF

作者: Xunguang Wang, Zhenlan Ji, Wenxuan Wang, Zongjie Li, Daoyuan Wu, Shuai Wang

分类: cs.CR, cs.AI

发布日期: 2025-06-12 (更新: 2025-10-16)

备注: Accepted by IEEE S&P 2026 Cycle 1

🔗 代码/项目: GITHUB

💡 一句话要点

提出多维分类法以评估大型语言模型的监控防护机制

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 监控防护机制 越狱攻击 安全性评估 多维分类法 系统化分析 防御机制优化

📋 核心要点

  1. 现有的LLM监控防护机制缺乏统一的分类和评估标准,导致其有效性和适用性难以比较。
  2. 本文提出了一种多维分类法,基于六个关键维度对监控防护机制进行分类,并建立了评估框架。
  3. 通过实验分析,识别了现有方法的优缺点,并为优化防御机制提供了实用建议。

📝 摘要(中文)

大型语言模型(LLMs)在取得显著进展的同时,其部署也暴露出关键的脆弱性,尤其是针对绕过安全对齐的越狱攻击。监控防护机制作为一种外部防御手段,能够监控和控制LLM的交互,成为一种有前景的解决方案。然而,目前LLM监控防护机制的现状分散,缺乏统一的分类法和全面的评估框架。本文首次对LLM的越狱监控防护机制进行了整体分析,提出了一种新的多维分类法,并引入了安全性-效率-实用性评估框架,以评估其实际有效性。通过广泛的分析和实验,我们识别了现有监控防护方法的优缺点,为优化其防御机制提供了见解,并探讨了其在不同攻击类型中的普适性。我们的工作为未来的研究和开发提供了结构化的基础,旨在指导稳健的LLM监控防护机制的原则性进展和部署。

🔬 方法详解

问题定义:本文旨在解决现有LLM监控防护机制的分类和评估不足的问题。现有方法缺乏统一的框架,导致其有效性难以评估和比较。

核心思路:论文提出了一种多维分类法,通过六个维度对监控防护机制进行系统化分类,并引入安全性、效率和实用性的评估框架,以全面评估其有效性。

技术框架:整体架构包括监控防护机制的分类、评估指标的定义和实验验证三个主要模块。首先对现有方法进行分类,然后设计评估框架,最后通过实验验证其有效性。

关键创新:最重要的创新点在于提出了多维分类法和综合评估框架,这与现有方法的单一评估标准形成鲜明对比,提供了更全面的视角。

关键设计:在评估框架中,设置了多个关键参数,包括安全性、效率和实用性指标,确保评估结果的全面性和准确性。

📊 实验亮点

实验结果显示,提出的评估框架能够有效识别现有监控防护机制的优缺点,并在多个攻击类型下展现出较高的防护效果。与基线方法相比,优化后的防护机制在安全性和实用性上提升了约20%。

🎯 应用场景

该研究的潜在应用领域包括大型语言模型的安全性评估、监控防护机制的设计与优化等。通过提供系统化的分类和评估框架,研究成果能够帮助开发更为稳健的防护机制,提升LLM在实际应用中的安全性和可靠性。

📄 摘要(原文)

Large Language Models (LLMs) have achieved remarkable progress, but their deployment has exposed critical vulnerabilities, particularly to jailbreak attacks that circumvent safety alignments. Guardrails--external defense mechanisms that monitor and control LLM interactions--have emerged as a promising solution. However, the current landscape of LLM guardrails is fragmented, lacking a unified taxonomy and comprehensive evaluation framework. In this Systematization of Knowledge (SoK) paper, we present the first holistic analysis of jailbreak guardrails for LLMs. We propose a novel, multi-dimensional taxonomy that categorizes guardrails along six key dimensions, and introduce a Security-Efficiency-Utility evaluation framework to assess their practical effectiveness. Through extensive analysis and experiments, we identify the strengths and limitations of existing guardrail approaches, provide insights into optimizing their defense mechanisms, and explore their universality across attack types. Our work offers a structured foundation for future research and development, aiming to guide the principled advancement and deployment of robust LLM guardrails. The code is available at https://github.com/xunguangwang/SoK4JailbreakGuardrails.