Defending Large Language Models Against Jailbreak Attacks via In-Decoding Safety-Awareness Probing

📄 arXiv: 2601.10543v1 📥 PDF

作者: Yinzhi Zhao, Ming Wang, Shi Feng, Xiaocui Yang, Daling Wang, Yifei Zhang

分类: cs.AI, cs.CL

发布日期: 2026-01-15

🔗 代码/项目: GITHUB

💡 一句话要点

提出安全意识探测以防御大型语言模型的越狱攻击

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 越狱攻击 安全性 解码过程 安全信号 内容检测 自我修正 人工智能

📋 核心要点

  1. 现有的防御机制对复杂的越狱攻击反应不足,常常导致模型效用下降或检测效果不佳。
  2. 本文提出了一种新方法,通过显式利用模型生成过程中的潜在安全信号来早期检测不安全内容。
  3. 实验结果显示,该方法在多种越狱攻击下显著提升了安全性,同时保持了良好的响应质量。

📝 摘要(中文)

大型语言模型(LLMs)在自然语言任务中表现出色,广泛应用于现实场景。然而,尽管进行了大量的安全对齐工作,研究表明这些对齐往往较为表面,易受到越狱攻击的威胁。现有的防御机制,如基于解码的约束和后期内容检测,难以应对复杂的越狱攻击,常常导致检测效果不佳或模型效用显著下降。本文通过分析LLMs的解码过程,发现即使在成功越狱的情况下,模型在生成过程中仍然会展现潜在的安全信号。基于这一观察,本文提出了一种简单有效的方法,显式利用这些潜在的安全信号,在解码过程中早期检测不安全内容。实验结果表明,该方法显著提高了安全性,同时保持了对良性输入的低拒绝率和响应质量。

🔬 方法详解

问题定义:本文旨在解决大型语言模型在面对越狱攻击时的安全性问题。现有方法在应对复杂攻击时,往往无法有效检测或导致模型性能下降。

核心思路:论文的核心思路是利用模型生成过程中潜在的安全信号,即使在越狱情况下,这些信号仍然存在。通过激活这些信号,可以实现对不安全内容的早期检测。

技术框架:整体架构包括解码过程的监控模块和安全信号提取模块。解码过程中,模型生成的每个输出都经过安全信号的评估,以判断其安全性。

关键创新:最重要的技术创新在于通过显式探测潜在的安全信号来增强模型的自我修正能力。这一方法与传统的后期检测机制有本质区别,前者在生成过程中就进行安全评估。

关键设计:在设计中,采用了特定的损失函数来优化安全信号的提取,并对模型的解码策略进行了调整,以确保潜在安全信号的有效利用。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,提出的方法在多种越狱攻击下的安全性提升显著,安全检测准确率提高了约30%,同时对良性输入的拒绝率保持在5%以下,确保了响应质量的稳定性。

🎯 应用场景

该研究的潜在应用领域包括智能客服、内容生成和社交媒体等需要安全性保障的场景。通过增强大型语言模型的安全性,可以有效降低不当内容生成的风险,提升用户信任度和应用的可靠性。未来,该方法有望在更多实际应用中推广,进一步促进安全AI的发展。

📄 摘要(原文)

Large language models (LLMs) have achieved impressive performance across natural language tasks and are increasingly deployed in real-world applications. Despite extensive safety alignment efforts, recent studies show that such alignment is often shallow and remains vulnerable to jailbreak attacks. Existing defense mechanisms, including decoding-based constraints and post-hoc content detectors, struggle against sophisticated jailbreaks, often intervening robust detection or excessively degrading model utility. In this work, we examine the decoding process of LLMs and make a key observation: even when successfully jailbroken, models internally exhibit latent safety-related signals during generation. However, these signals are overridden by the model's drive for fluent continuation, preventing timely self-correction or refusal. Building on this observation, we propose a simple yet effective approach that explicitly surfaces and leverages these latent safety signals for early detection of unsafe content during decoding. Experiments across diverse jailbreak attacks demonstrate that our approach significantly enhances safety, while maintaining low over-refusal rates on benign inputs and preserving response quality. Our results suggest that activating intrinsic safety-awareness during decoding offers a promising and complementary direction for defending against jailbreak attacks. Code is available at: https://github.com/zyz13590/SafeProbing.