The Struggle Between Continuation and Refusal: A Mechanistic Analysis of the Continuation-Triggered Jailbreak in LLMs

📄 arXiv: 2603.08234v1 📥 PDF

作者: Yonghong Deng, Zhen Yang, Ping Jian, Xinyue Zhang, Zhongbin Guo, Chengzhi Li

分类: cs.AI, cs.LG

发布日期: 2026-03-09

💡 一句话要点

针对LLM中延续触发的越狱现象,提出基于注意力头的机制性分析方法

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 越狱攻击 安全对齐 注意力机制 机制可解释性

📋 核心要点

  1. 大型语言模型面临越狱攻击威胁,现有安全对齐方法仍存在不足,对越狱机制的理解亟待加强。
  2. 通过分析延续触发的越狱现象,揭示模型内在延续驱动与安全防御之间的竞争关系是越狱的关键。
  3. 通过因果干预和激活缩放等手段,深入分析了安全关键注意力头的行为,并发现了不同模型架构的差异。

📝 摘要(中文)

随着大型语言模型(LLMs)的快速发展,LLMs的安全性已成为一个关键问题。尽管在安全对齐方面做出了重大努力,但当前的LLMs仍然容易受到越狱攻击。然而,对此类漏洞的根本原因仍然知之甚少,因此有必要对学术界和工业界的越狱机制进行严格的调查。本文重点研究了一种延续触发的越狱现象,即简单地重新定位延续触发的指令后缀可以大大提高越狱成功率。为了揭示这种现象的内在机制,我们进行了全面的注意力头级别的机制可解释性分析。通过因果干预和激活缩放,我们表明这种越狱行为主要源于模型内在的延续驱动与通过对齐训练获得的安全防御之间的固有竞争。此外,我们对已识别的安全关键注意力头进行了详细的行为分析,揭示了不同模型架构中安全头的函数和行为的显着差异。这些发现为理解和解释LLMs中的越狱行为提供了一种新的机制视角,为提高模型安全性提供了理论见解和实践意义。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLMs)中存在的越狱漏洞问题,特别是延续触发的越狱现象。现有方法虽然进行了安全对齐,但仍无法有效阻止攻击者通过构造特定的指令后缀来诱导模型生成有害内容。这种现象的根本原因尚不明确,缺乏深入的机制性理解。

核心思路:论文的核心思路是通过机制可解释性分析,深入研究LLMs中注意力头的行为,揭示延续触发的越狱现象背后的内在机制。作者认为,越狱行为源于模型内在的延续驱动与通过安全对齐训练获得的安全防御之间的竞争。通过理解这种竞争关系,可以更好地设计防御策略。

技术框架:论文的技术框架主要包括以下几个阶段:1) 识别延续触发的越狱现象;2) 通过因果干预和激活缩放等方法,分析注意力头的行为;3) 识别安全关键的注意力头;4) 对安全关键注意力头进行详细的行为分析,比较不同模型架构之间的差异。

关键创新:论文最重要的技术创新点在于其机制性的分析方法。与以往主要关注输入输出的黑盒方法不同,本文深入到模型内部,通过分析注意力头的行为来理解越狱现象的根本原因。这种方法能够提供更深入的洞察,为改进模型安全性提供更有效的指导。

关键设计:论文的关键设计包括:1) 使用因果干预方法来确定注意力头对越狱行为的影响;2) 使用激活缩放方法来研究注意力头在不同情况下的激活强度;3) 对比不同模型架构中安全关键注意力头的行为,以发现共性和差异。具体的参数设置和网络结构细节未在摘要中提及,属于未知信息。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

论文通过实验证明,延续触发的越狱现象确实存在,并且通过因果干预和激活缩放等方法,成功识别了安全关键的注意力头。研究还发现,不同模型架构中安全头的函数和行为存在显着差异,这为进一步改进模型安全性提供了重要的线索。具体的性能数据和提升幅度未在摘要中提及,属于未知信息。

🎯 应用场景

该研究成果可应用于提升大型语言模型的安全性,减少越狱攻击的风险。通过理解模型内在的漏洞机制,可以设计更有效的安全对齐方法,例如改进训练数据、调整模型架构或引入新的防御机制。此外,该研究方法也可用于分析其他类型的模型漏洞,具有广泛的应用前景。

📄 摘要(原文)

With the rapid advancement of large language models (LLMs), the safety of LLMs has become a critical concern. Despite significant efforts in safety alignment, current LLMs remain vulnerable to jailbreaking attacks. However, the root causes of such vulnerabilities are still poorly understood, necessitating a rigorous investigation into jailbreak mechanisms across both academic and industrial communities. In this work, we focus on a continuation-triggered jailbreak phenomenon, whereby simply relocating a continuation-triggered instruction suffix can substantially increase jailbreak success rates. To uncover the intrinsic mechanisms of this phenomenon, we conduct a comprehensive mechanistic interpretability analysis at the level of attention heads. Through causal interventions and activation scaling, we show that this jailbreak behavior primarily arises from an inherent competition between the model's intrinsic continuation drive and the safety defenses acquired through alignment training. Furthermore, we perform a detailed behavioral analysis of the identified safety-critical attention heads, revealing notable differences in the functions and behaviors of safety heads across different model architectures. These findings provide a novel mechanistic perspective for understanding and interpreting jailbreak behaviors in LLMs, offering both theoretical insights and practical implications for improving model safety.