多樣本破解

多樣本破解（Many-shot Jailbreaking）是一種通過提供大量示例對話來繞過AI安全限制的攻擊技術，利用模型的上下文學習能力誘導有害輸出。

攻擊原理：

• 上下文學習：模型從提示中的示例學習模式
• 大量示例：提供數十甚至數百個虛構的「用戶-助手」對話
• 有害內容：示例中包含模型通常拒絕的回答
• 最終請求：在最後提出真正的有害問題
• 模型模仿：學習示例中的行為模式，繞過安全訓練

為何有效：

• 安全訓練局限：主要針對單輪請求優化
• 上下文學習強大：模型擅長從示例學習
• 長上下文：現代模型支持更長上下文，容納更多示例
• 模式匹配：模型優先匹配示例模式而非安全規則

防禦策略：

• 輸入長度限制：限制上下文長度
• 示例檢測：識別異常的對話模式
• 安全訓練加強：針對多輪攻擊的專門訓練
• 分層防護：不僅依賴單一安全層
• 持續監測：檢測異常的輸入模式

與其他攻擊的區別：

• 提示詞注入：直接注入指令覆蓋
• 多樣本破解：間接誘導，利用學習能力
• 更難檢測：看起來像正常的多輪對話

研究發現：

• Anthropic研究：證明即使 benign 的示例也能誘導有害行為
• 有效性：隨著示例數量增加，攻擊成功率上升
• 模型規模：更大的模型更容易受影響（上下文學習更強）

負責任研究：

• 首次發現：Anthropic 2024年發表論文披露
• 負責任披露：先與AI公司分享，給時間加固
• 推動防禦：研究促進更好的安全訓練

持續挑戰：

• 上下文與安全的權衡：長上下文的價值vs風險
• 檢測困難：難以區分正常多輪對話和攻擊
• 攻防演進：攻擊者會持續探索新方法

多樣本破解凸顯了長上下文安全的挑戰。