Alan Turing Institute 研究人员发现,通过将恶意请求分散到一系列无害的编码步骤中,可绕过 GitHub Copilot 的安全过滤,成功率高达 100%。同时,新提出的 HMNS 技术可实现 96%-99% 的攻击成功率。NIST 发布证明称,无限护盾无法抵御所有对抗性攻击,建议转向持续红队测试。
近几周多项研究揭示了大语言模型安全系统的全新漏洞,迫使 AI 公司紧急应对,甚至引发前所未有的政府干预。这些发现印证了联邦科学家所说的“数学必然性”:任何固定的安全护栏都无法阻挡所有对抗性攻击。
Alan Turing Institute 的研究人员周三披露了一种“工作流级别越狱”方法,通过将有害请求分散在一系列看似无害的编码步骤中,成功绕过了 GitHub Copilot 的安全过滤器。在直接对话中,助手拒绝了 816 个有害提示中的几乎全部;而将这些提示分布在工作流中后,它完成了每一个。这一发现暴露了当前行业标准——逐提示安全测试的盲点。

此外,ICLR 2026 上提交的一篇论文介绍了“头掩码零空间引导”(HMNS)技术,该技术可静默模型注意力层中的内部“安全头”,并将指令注入其盲区。该方法在基准测试中实现了 96% 到 99% 的攻击成功率,并能有效绕过现有防御手段。
6 月 9 日,美国国家标准与技术研究院(NIST)发布了高级科学家 Apostol Vassilev 的同行评审证明,认为有限护盾系统无法对所有自适应对抗性提示保持通用鲁棒性。“哥德尔逻辑在此适用,”Vassilev 说,“你永远无法声称自己对所有对抗性提示攻击都鲁棒。”NIST 建议转向持续红队测试、定期更新和运营韧性,而不是将安全视为一劳永逸的目标。
实际后果迅速显现。亚马逊研究人员在 Anthropic 的 Claude Fable 5 于 6 月 9 日发布后不久就成功对其进行越狱,随后美国商务部实施出口管制,迫使 Anthropic 在全球范围内禁用该模型近三周。Anthropic 于 7 月 1 日重新部署 Fable 5,并配备了新的安全分类器,称可阻止报告技术的 99% 以上攻击。
OpenAI 也面临考验:4 月,英国 AI 安全研究所(UK AI Safety Institute)在六小时专家红队测试中发现了 GPT-5.5 的通用越狱方法。该公司本周发布的 GPT-5.6 号称拥有“最强”防护措施,包括一个用于检测越狱尝试的分类器和深度防御策略。谷歌则在 Palo Alto Networks 发出警告后,移除了 18 个与聊天机器人越狱风险相关的 Chrome 扩展。
研究人员的新共识直白而尖锐:越狱是 AI 系统的永久特征,而非可以修补的漏洞。
免费获取企业 AI 成熟度诊断报告,发现转型机会
关注公众号

扫码关注,获取最新 AI 资讯
3 步完成企业诊断,获取专属转型建议
已有 200+ 企业完成诊断