Safe2Harm: Semantic Isomorphism Attacks for Jailbreaking Large Language Models

📄 arXiv: 2512.13703v1 📥 PDF

作者: Fan Yang

分类: cs.CR, cs.AI

发布日期: 2025-12-05

💡 一句话要点

提出Safe2Harm语义同构攻击,高效破解大型语言模型的安全限制

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 安全漏洞 越狱攻击 语义同构 有害内容检测

📋 核心要点

  1. 现有LLM越狱方法主要依赖提示工程或对抗优化,忽略了有害场景与合法场景在底层原理上的相似性。
  2. Safe2Harm攻击将有害问题转化为语义安全的同构问题,利用LLM对安全问题的回答,再反向映射生成有害内容。
  3. 实验表明,Safe2Harm在多个LLM上表现出强大的越狱能力,优于现有方法,并构建了新的有害内容评估数据集。

📝 摘要(中文)

大型语言模型(LLMs)在各种任务中表现出卓越的性能,但其安全漏洞可能被攻击者利用,从而生成有害内容,对各个社会领域造成不利影响。现有的大多数越狱方法都围绕提示工程或对抗优化展开,但我们发现了一个以前被忽视的现象:许多有害场景在底层原理上与合法的场景高度一致。基于这一发现,本文提出了一种Safe2Harm语义同构攻击方法,该方法通过四个阶段实现高效的越狱:首先,将有害问题改写为语义上安全的、具有相似底层原理的问题;其次,提取两者之间的主题映射关系;第三,让LLM生成针对安全问题的详细回答;最后,基于主题映射关系反向改写安全回答,从而获得有害输出。在7个主流LLM和三种基准数据集上的实验表明,Safe2Harm表现出强大的越狱能力,其整体性能优于现有方法。此外,我们构建了一个包含358个样本的具有挑战性的有害内容评估数据集,并评估了现有有害检测方法的有效性,这些方法可以部署用于LLM输入输出过滤,以实现防御。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLMs)的安全漏洞问题,即如何有效地绕过LLMs的安全机制,使其生成有害内容。现有方法,如提示工程和对抗优化,在面对复杂的安全防御时效果有限,并且忽略了有害场景与合法场景在语义和原理上的内在联系。

核心思路:论文的核心思路是利用语义同构性,将有害问题转化为语义上相似但无害的问题,利用LLM对无害问题的正常回答,然后通过反向映射将安全回答转化为有害输出。这种方法避免了直接对抗LLM的安全机制,而是通过迂回的方式达到越狱的目的。

技术框架:Safe2Harm攻击方法包含四个主要阶段:1) 问题重写:将有害问题改写为语义上安全的同构问题;2) 主题映射:提取有害问题和安全问题之间的主题映射关系;3) 安全回答生成:利用LLM生成针对安全问题的详细回答;4) 回答反向重写:基于主题映射关系,将安全回答反向重写为有害输出。

关键创新:该方法的核心创新在于发现了并利用了有害场景与合法场景之间的语义同构性。与传统的直接对抗方法不同,Safe2Harm通过语义转换绕过了LLM的安全检测,从而实现了更高效的越狱。

关键设计:关键设计包括:如何定义和识别语义同构问题,如何有效地提取和表示主题映射关系,以及如何保证反向重写后的回答既有害又符合逻辑。论文可能使用了特定的自然语言处理技术来实现这些步骤,例如基于规则的转换、基于模板的生成或基于神经网络的映射。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

Safe2Harm在7个主流LLM和三种基准数据集上进行了实验,结果表明其越狱能力优于现有方法。论文还构建了一个包含358个样本的具有挑战性的有害内容评估数据集,并评估了现有有害检测方法的有效性。具体性能数据和提升幅度在论文中详细展示,证明了Safe2Harm的有效性和优越性。

🎯 应用场景

该研究成果可应用于评估和提升大型语言模型的安全性,帮助开发者发现和修复潜在的安全漏洞。同时,该方法也可用于构建更强大的有害内容检测系统,过滤LLM的输入和输出,防止其被滥用。此外,该研究也为理解LLM的内在工作机制提供了新的视角。

📄 摘要(原文)

Large Language Models (LLMs) have demonstrated exceptional performance across various tasks, but their security vulnerabilities can be exploited by attackers to generate harmful content, causing adverse impacts across various societal domains. Most existing jailbreak methods revolve around Prompt Engineering or adversarial optimization, yet we identify a previously overlooked phenomenon: many harmful scenarios are highly consistent with legitimate ones in terms of underlying principles. Based on this finding, this paper proposes the Safe2Harm Semantic Isomorphism Attack method, which achieves efficient jailbreaking through four stages: first, rewrite the harmful question into a semantically safe question with similar underlying principles; second, extract the thematic mapping relationship between the two; third, let the LLM generate a detailed response targeting the safe question; finally, reversely rewrite the safe response based on the thematic mapping relationship to obtain harmful output. Experiments on 7 mainstream LLMs and three types of benchmark datasets show that Safe2Harm exhibits strong jailbreaking capability, and its overall performance is superior to existing methods. Additionally, we construct a challenging harmful content evaluation dataset containing 358 samples and evaluate the effectiveness of existing harmful detection methods, which can be deployed for LLM input-output filtering to enable defense.