Behind the Mask: Benchmarking Camouflaged Jailbreaks in Large Language Models

📄 arXiv: 2509.05471v1 📥 PDF

作者: Youjia Zheng, Mohammad Zandsalimy, Shanu Sushmita

分类: cs.CR, cs.AI

发布日期: 2025-09-05

💡 一句话要点

提出伪装越狱提示基准测试,评估大型语言模型在隐蔽对抗攻击下的安全性

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 对抗攻击 伪装越狱 安全评估 基准测试

📋 核心要点

  1. 现有大型语言模型容易受到伪装越狱攻击,攻击者通过嵌入恶意意图的良性语言绕过安全机制。
  2. 论文提出一种新的基准数据集,包含精心设计的有害和良性提示,用于严格测试LLM的安全协议。
  3. 实验表明,LLM在面对伪装越狱攻击时,安全性和性能显著下降,凸显了现有防御机制的不足。

📝 摘要(中文)

大型语言模型(LLMs)越来越容易受到一种名为伪装越狱的复杂对抗提示攻击的影响。这种方法将恶意意图嵌入到看似良性的语言中,以规避现有的安全机制。与公开攻击不同,这些微妙的提示利用了上下文的模糊性和语言的灵活性,对当前的防御系统构成了重大挑战。本文研究了伪装越狱提示的构建和影响,强调了它们的欺骗性特征以及传统基于关键词的检测方法的局限性。我们引入了一个新的基准数据集,即伪装越狱提示,其中包含500个精心策划的示例(400个有害提示和100个良性提示),旨在严格测试LLM安全协议。此外,我们提出了一个多方面的评估框架,该框架从七个维度衡量有害性:安全意识、技术可行性、实施保障、有害潜力、教育价值、内容质量和合规性得分。我们的研究结果揭示了LLM行为的鲜明对比:虽然模型在良性输入下表现出较高的安全性和内容质量,但在面对伪装越狱尝试时,它们的性能和安全性显著下降。这种差异突显了一种普遍存在的漏洞,强调迫切需要更细致和自适应的安全策略,以确保LLM在实际应用中的负责任和稳健部署。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLMs)在面对伪装越狱攻击时存在的安全漏洞问题。现有基于关键词检测等方法难以有效识别嵌入在看似无害的语言中的恶意意图,导致LLMs容易被诱导产生有害或不当的输出。这种隐蔽性使得传统的安全防御机制失效,对LLMs的实际应用构成严重威胁。

核心思路:论文的核心思路是构建一个专门用于评估LLMs在伪装越狱攻击下的鲁棒性的基准数据集,并设计一个多维度的评估框架来全面衡量LLMs的安全性。通过精心设计的对抗性提示,暴露LLMs在处理微妙恶意输入时的弱点,从而推动更有效的防御策略的开发。

技术框架:论文的技术框架主要包含两个部分:一是伪装越狱提示数据集的构建,二是多维度评估框架的设计。数据集包含400个有害提示和100个良性提示,这些提示经过精心设计,旨在模拟真实的伪装越狱攻击场景。评估框架则从安全意识、技术可行性、实施保障、有害潜力、教育价值、内容质量和合规性得分七个维度对LLMs的输出进行评估。

关键创新:论文的关键创新在于提出了一个专门针对伪装越狱攻击的基准数据集和评估框架。与以往的研究不同,该研究关注的是LLMs在面对隐蔽性攻击时的脆弱性,而非直接的、显式的攻击。这种关注点的转变更贴近实际应用中可能遇到的安全威胁,也更具挑战性。

关键设计:在数据集构建方面,论文作者可能采用了多种策略来生成伪装越狱提示,例如使用同义词替换、改变句子结构、利用上下文信息等。在评估框架设计方面,七个维度的选择可能基于对LLMs安全性的全面考量,每个维度都对应着不同的安全风险。具体的参数设置、损失函数、网络结构等技术细节未知,因为论文主要关注数据集和评估框架的构建。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,LLMs在面对良性输入时表现出较高的安全性和内容质量,但在面对伪装越狱提示时,其性能和安全性显著下降。具体的数据指标(例如,安全评分下降幅度)未知,但整体趋势表明,现有的LLMs在处理隐蔽性攻击方面存在明显的漏洞,需要进一步的研究和改进。

🎯 应用场景

该研究成果可应用于提升大型语言模型的安全性,尤其是在处理用户生成内容、智能客服、教育辅导等场景中。通过使用该基准数据集和评估框架,开发者可以更好地评估和改进LLMs的防御能力,降低其被恶意利用的风险,从而促进LLMs在各个领域的安全可靠应用。

📄 摘要(原文)

Large Language Models (LLMs) are increasingly vulnerable to a sophisticated form of adversarial prompting known as camouflaged jailbreaking. This method embeds malicious intent within seemingly benign language to evade existing safety mechanisms. Unlike overt attacks, these subtle prompts exploit contextual ambiguity and the flexible nature of language, posing significant challenges to current defense systems. This paper investigates the construction and impact of camouflaged jailbreak prompts, emphasizing their deceptive characteristics and the limitations of traditional keyword-based detection methods. We introduce a novel benchmark dataset, Camouflaged Jailbreak Prompts, containing 500 curated examples (400 harmful and 100 benign prompts) designed to rigorously stress-test LLM safety protocols. In addition, we propose a multi-faceted evaluation framework that measures harmfulness across seven dimensions: Safety Awareness, Technical Feasibility, Implementation Safeguards, Harmful Potential, Educational Value, Content Quality, and Compliance Score. Our findings reveal a stark contrast in LLM behavior: while models demonstrate high safety and content quality with benign inputs, they exhibit a significant decline in performance and safety when confronted with camouflaged jailbreak attempts. This disparity underscores a pervasive vulnerability, highlighting the urgent need for more nuanced and adaptive security strategies to ensure the responsible and robust deployment of LLMs in real-world applications.