对话式攻击的“功劳分配”问题:聊聊 MJ 框架对多轮越狱的研究
把越狱攻击看作一场“多轮博弈”比单次 Prompt 注入要复杂得多。现在的 LLM 都在追求多轮交互的流畅性,但这同时也给红队测试(Red Teaming)出了个大难题:如果一串对话最终成功让模型“破防”了,到底是哪一轮对话起到了关键作用?是开场白铺垫得好,还是中间的逻辑诱导生效了?
下一篇
多智能体安全评估里那个所谓的“流水线效应”其实是个巨大的统计陷阱 →
传统的强化学习方法(比如直接用整条对话轨迹的得分去更新整个策略)就像是在一场足球赛结束后,因为最后进了一个球,就把全场 90 分钟的所有球员都当成 MVP。这种粗粒度的奖励机制(Coarse-grained signal)会导致严重的“信用分配错误”(Credit Misassignment),让模型学不到真正有效的攻击节奏。
这篇关于 MJ 框架的论文提到的 DC-GRPO 逻辑很有意思。它不再是简单地给整条轨迹打分,而是试图把“功劳”拆解到每一轮对话中。它引入了一个类似“即时奖励 + 未来预期奖励”的机制,通过在 GRPO(组相对策略优化)的基础上做改进,让每一轮的攻击策略都能得到精准的反馈。
我对比了一下实验数据,这确实有点硬核。在几个主流的受害者模型 Benchmark 上,这种基于 Turn-level 信用分配的方法,其 ASR5@3 分数直接冲到了 98% 左右,相比之前 SEMA 或 TROJail 那种 86% 左右的表现,提升幅度非常明显。
从工程效率的角度看,这种从轨迹级(Trajectory-level)向轮次级(Turn-level)转化的思路,本质上是在解决大规模自动化红队测试中的收敛效率问题。如果我们的目标是构建更自动化的攻击载荷生成器,这种精细化的权重分配逻辑比单纯堆砌 Prompt 更有技术含量。
# 核心算法逻辑参考 (DC-GRPO 概念模型)
Input: Multi-turn dialogue trajectory (T1, T2, ..., Tn)
Reward Function: R_turn = combine(Immediate_Reward, Future_Credit_Estimation)
Optimization: Group-relative policy update per turn