EquaCode: A Multi-Strategy Jailbreak Approach for Large Language Models via Equation Solving and Code Completion

📄 arXiv: 2512.23173v1 📥 PDF

作者: Zhen Liang, Hai Huang, Zhengkui Chen

分类: cs.CR, cs.AI

发布日期: 2025-12-29

备注: This is a preprint. A revised version will appear in the Proceedings of AAAI 2026

💡 一句话要点

提出EquaCode,利用方程求解与代码补全实现大语言模型的越狱攻击

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 越狱攻击 方程求解 代码补全 多策略攻击 安全评估 鲁棒性

📋 核心要点

  1. 现有大语言模型越狱攻击主要依赖自然语言,且策略单一,难以全面评估模型的鲁棒性。
  2. EquaCode将恶意意图转化为数学问题,并要求模型通过代码求解,利用跨领域复杂性转移模型注意力。
  3. 实验表明,EquaCode在多个LLM上取得了超过90%的越狱成功率,且优于单一策略。

📝 摘要(中文)

大型语言模型(LLMs),如ChatGPT,在各个领域取得了显著成功。然而,其可信度仍然是一个重要问题,因为它们仍然容易受到旨在引出不适当或有害响应的越狱攻击。现有的越狱攻击主要在自然语言层面进行,并依赖于单一的攻击策略,限制了其全面评估LLM鲁棒性的有效性。本文提出了一种新颖的多策略越狱方法Equacode,通过方程求解和代码补全来实现对大型语言模型的攻击。该方法将恶意意图转化为数学问题,然后要求LLM使用代码来解决它,利用跨领域任务的复杂性来转移模型对任务完成的关注,而不是安全约束。实验结果表明,Equacode在GPT系列上的平均成功率为91.19%,在3个最先进的LLM上的平均成功率为98.65%,并且只需要一次查询。此外,消融实验表明,EquaCode的性能优于单独的数学方程模块或代码模块。这表明存在强大的协同效应,从而证明了多策略方法产生的结果大于其各部分之和。

🔬 方法详解

问题定义:现有的大语言模型容易受到越狱攻击,攻击者可以通过精心设计的提示词诱导模型生成有害或不当内容。现有的攻击方法主要集中在自然语言层面,依赖于单一的攻击策略,这使得它们在面对不断改进的防御机制时显得脆弱,并且难以全面评估模型的安全性边界。因此,如何设计更有效、更鲁棒的越狱攻击方法,以充分暴露LLM的安全漏洞,是一个亟待解决的问题。

核心思路:EquaCode的核心思路是将恶意意图转化为一个复杂的数学问题,然后要求LLM通过编写代码来解决这个问题。这种方法利用了数学和编程的跨领域特性,使得模型在解决问题的过程中更容易忽略安全约束,从而达到越狱的目的。通过将问题转化为代码,可以增加攻击的隐蔽性,并利用代码执行的复杂性来绕过安全检测机制。

技术框架:EquaCode的整体框架包含两个主要模块:数学方程生成模块和代码补全模块。首先,数学方程生成模块将恶意意图编码为一个复杂的数学方程。然后,代码补全模块接收这个数学方程,并要求LLM生成能够解决该方程的代码。LLM生成的代码会被执行,其输出结果将被用于评估越狱是否成功。整个流程旨在利用数学问题的复杂性和代码执行的间接性,诱导LLM生成有害内容。

关键创新:EquaCode的关键创新在于其多策略攻击方法,即结合了数学方程求解和代码补全两个模块。与传统的自然语言攻击方法相比,EquaCode利用了跨领域知识的复杂性,使得攻击更具隐蔽性和有效性。此外,EquaCode通过将恶意意图转化为数学问题,可以绕过一些基于自然语言的安全检测机制。

关键设计:EquaCode的关键设计包括数学方程的复杂度和代码补全的提示策略。数学方程的复杂度需要足够高,以确保LLM在解决问题时难以意识到潜在的恶意意图。代码补全的提示策略需要引导LLM生成能够正确解决数学方程的代码,同时避免触发安全检测机制。具体的参数设置和损失函数未知,因为论文中没有详细描述。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

EquaCode在GPT系列模型上实现了平均91.19%的越狱成功率,在三个最先进的LLM上达到了98.65%的成功率,且仅需单次查询。消融实验表明,EquaCode的性能显著优于单独使用数学方程或代码补全模块,验证了多策略协同攻击的有效性。

🎯 应用场景

EquaCode的研究成果可以应用于评估和提高大型语言模型的安全性。通过使用EquaCode进行压力测试,可以发现LLM中存在的安全漏洞,并为开发更有效的防御机制提供指导。此外,该方法还可以用于研究LLM在处理跨领域任务时的安全风险,为未来的模型设计提供参考。

📄 摘要(原文)

Large language models (LLMs), such as ChatGPT, have achieved remarkable success across a wide range of fields. However, their trustworthiness remains a significant concern, as they are still susceptible to jailbreak attacks aimed at eliciting inappropriate or harmful responses. However, existing jailbreak attacks mainly operate at the natural language level and rely on a single attack strategy, limiting their effectiveness in comprehensively assessing LLM robustness. In this paper, we propose Equacode, a novel multi-strategy jailbreak approach for large language models via equation-solving and code completion. This approach transforms malicious intent into a mathematical problem and then requires the LLM to solve it using code, leveraging the complexity of cross-domain tasks to divert the model's focus toward task completion rather than safety constraints. Experimental results show that Equacode achieves an average success rate of 91.19% on the GPT series and 98.65% across 3 state-of-the-art LLMs, all with only a single query. Further, ablation experiments demonstrate that EquaCode outperforms either the mathematical equation module or the code module alone. This suggests a strong synergistic effect, thereby demonstrating that multi-strategy approach yields results greater than the sum of its parts.