会员服务
上下文 · 攻击 · 耦合 · 构建 · 越狱 ·
1 月 28 日
ICON: Intent-Context Coupling for Efficient Multi-Turn Jailbreak Attack
翻译:ICON:面向高效多轮越狱攻击的意图-上下文耦合机制
Xingwei Lin,Wenhao Lin,Sicong Cao,Jiahao Yu,Renke Huang,Lei Xue,Chunming Wu
Xingwei Lin,Wenhao Lin,Sicong Cao,Jiahao Yu,Renke Huang,Lei Xue,Chunming Wu

Multi-turn jailbreak attacks have emerged as a critical threat to Large Language Models (LLMs), bypassing safety mechanisms by progressively constructing adversarial contexts from scratch and incrementally refining prompts. However, existing methods suffer from the inefficiency of incremental context construction that requires step-by-step LLM interaction, and often stagnate in suboptimal regions due to surface-level optimization. In this paper, we characterize the Intent-Context Coupling phenomenon, revealing that LLM safety constraints are significantly relaxed when a malicious intent is coupled with a semantically congruent context pattern. Driven by this insight, we propose ICON, an automated multi-turn jailbreak framework that efficiently constructs an authoritative-style context via prior-guided semantic routing. Specifically, ICON first routes the malicious intent to a congruent context pattern (e.g., Scientific Research) and instantiates it into an attack prompt sequence. This sequence progressively builds the authoritative-style context and ultimately elicits prohibited content. In addition, ICON incorporates a Hierarchical Optimization Strategy that combines local prompt refinement with global context switching, preventing the attack from stagnating in ineffective contexts. Experimental results across eight SOTA LLMs demonstrate the effectiveness of ICON, achieving a state-of-the-art average Attack Success Rate (ASR) of 97.1\%. Code is available at https://github.com/xwlin-roy/ICON.


翻译:多轮越狱攻击已成为大型语言模型(LLMs)面临的关键威胁,其通过从零开始逐步构建对抗性上下文并迭代优化提示,从而绕过安全机制。然而,现有方法存在增量式上下文构建效率低下的问题,需要逐步与LLM交互,且常因表层优化而陷入次优区域停滞。本文揭示了意图-上下文耦合现象,发现当恶意意图与语义契合的上下文模式耦合时,LLM的安全约束会显著放松。基于此洞见,我们提出ICON——一种自动化的多轮越狱框架,通过先验引导的语义路由高效构建权威式上下文。具体而言,ICON首先将恶意意图路由至契合的上下文模式(如科学研究),并将其实例化为攻击提示序列。该序列逐步构建权威式上下文,最终诱导出被禁止的内容。此外,ICON采用分层优化策略,结合局部提示优化与全局上下文切换,防止攻击在无效上下文中停滞。在八个前沿LLM上的实验结果表明,ICON具有显著有效性,达到了97.1%的平均攻击成功率(ASR),刷新了当前最优性能。代码发布于https://github.com/xwlin-roy/ICON。
0
下载
关闭预览

相关内容

大型语言模型遇上文本属性图:一种融合框架与应用的综述
大型语言模型遇上文本属性图:一种融合框架与应用的综述
专知会员服务
10+阅读 · 2025年10月27日
LaCache:用于高效长上下文建模的大语言模型梯状KV缓存机制
LaCache:用于高效长上下文建模的大语言模型梯状KV缓存机制
专知会员服务
11+阅读 · 2025年7月23日
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
专知会员服务
43+阅读 · 2025年7月18日
【ICML2025】大语言模型中有效长上下文建模的长短对齐方法
【ICML2025】大语言模型中有效长上下文建模的长短对齐方法
专知会员服务
13+阅读 · 2025年6月16日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
21+阅读 · 2025年4月28日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
TransMLA:多头潜在注意力(MLA)即为所需
TransMLA:多头潜在注意力(MLA)即为所需
专知会员服务
23+阅读 · 2025年2月13日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
Google at KDD 2020,提出MoSE框架显式建模用户行为序列提升多任务学习效果
Google at KDD 2020,提出MoSE框架显式建模用户行为序列提升多任务学习效果
AINLP
11+阅读 · 2020年7月7日
淘宝 at KDD 2020,提出M2GRL优化大规模推荐中的多任务多视角图表示学习
淘宝 at KDD 2020,提出M2GRL优化大规模推荐中的多任务多视角图表示学习
AINLP
23+阅读 · 2020年6月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
泡泡机器人SLAM
34+阅读 · 2019年9月18日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
【论文推荐】最新八篇视频描述生成相关论文—在线视频理解、联合定位和描述事件、生成视频、跨模态注意力机制、联合事件检测和描述
【论文推荐】最新八篇视频描述生成相关论文—在线视频理解、联合定位和描述事件、生成视频、跨模态注意力机制、联合事件检测和描述
专知
11+阅读 · 2018年6月4日
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
专知
19+阅读 · 2018年3月16日
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
专知
74+阅读 · 2018年1月16日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
图文混合跨媒体知识单元的模糊分类方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
改进智能优化策略多机动目标跟踪方法研究
国家自然科学基金
17+阅读 · 2015年12月31日
基于上下文精化的并发对象活性的描述及验证
国家自然科学基金
1+阅读 · 2015年12月31日
多标记文本数据流分类方法研究
国家自然科学基金
3+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于上下文感知和异质特征集成的SAR图像分割与评价
国家自然科学基金
2+阅读 · 2015年12月31日
社交网络环境下基于协同过滤的上下文感知推荐系统研究
国家自然科学基金
6+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
The Trojan Example: Jailbreaking LLMs through Template Filling and Unsafety Reasoning
Arxiv
0+阅读 · 2月18日
Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks
Arxiv
0+阅读 · 2月16日
Multi-Turn Adaptive Prompting Attack on Large Vision-Language Models
Arxiv
0+阅读 · 2月16日
ShallowJail: Steering Jailbreaks against Large Language Models
Arxiv
0+阅读 · 2月13日
TrailBlazer: History-Guided Reinforcement Learning for Black-Box LLM Jailbreaking
Arxiv
0+阅读 · 2月6日
Pattern Enhanced Multi-Turn Jailbreaking: Exploiting Structural Vulnerabilities in Large Language Models
Arxiv
0+阅读 · 2月5日
Proactive defense against LLM Jailbreak
Arxiv
0+阅读 · 2月2日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
Defending Large Language Models Against Jailbreak Attacks via In-Decoding Safety-Awareness Probing
Arxiv
0+阅读 · 1月30日
Enhancing Model Defense Against Jailbreaks with Proactive Safety Reasoning
Arxiv
0+阅读 · 1月28日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
上下文
攻击
耦合
构建
越狱
相关VIP内容
大型语言模型遇上文本属性图:一种融合框架与应用的综述
大型语言模型遇上文本属性图:一种融合框架与应用的综述
专知会员服务
10+阅读 · 2025年10月27日
LaCache:用于高效长上下文建模的大语言模型梯状KV缓存机制
LaCache:用于高效长上下文建模的大语言模型梯状KV缓存机制
专知会员服务
11+阅读 · 2025年7月23日
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
什么是上下文工程?中科院计算所等《大语言模型的上下文工程》综述
专知会员服务
43+阅读 · 2025年7月18日
【ICML2025】大语言模型中有效长上下文建模的长短对齐方法
【ICML2025】大语言模型中有效长上下文建模的长短对齐方法
专知会员服务
13+阅读 · 2025年6月16日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
大语言模型越狱攻击:模型、根因及其攻防演化
大语言模型越狱攻击:模型、根因及其攻防演化
专知会员服务
21+阅读 · 2025年4月28日
大语言模型越狱攻击: 模型、根因及其攻防演化
大语言模型越狱攻击: 模型、根因及其攻防演化
专知会员服务
24+阅读 · 2025年2月16日
TransMLA:多头潜在注意力(MLA)即为所需
TransMLA:多头潜在注意力(MLA)即为所需
专知会员服务
23+阅读 · 2025年2月13日
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
如何攻击大模型?UIUC等最新《破解防御:大型语言模型攻击方法》综述
专知会员服务
45+阅读 · 2024年3月12日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
热门VIP内容
相关资讯
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
注意力机制 | 图卷积多跳注意力机制 | Direct multi-hop Attention based GNN
AINLP
22+阅读 · 2020年11月29日
Google at KDD 2020,提出MoSE框架显式建模用户行为序列提升多任务学习效果
Google at KDD 2020,提出MoSE框架显式建模用户行为序列提升多任务学习效果
AINLP
11+阅读 · 2020年7月7日
淘宝 at KDD 2020,提出M2GRL优化大规模推荐中的多任务多视角图表示学习
淘宝 at KDD 2020,提出M2GRL优化大规模推荐中的多任务多视角图表示学习
AINLP
23+阅读 · 2020年6月16日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
【泡泡图灵智库】ContextDesc:用跨模态上下文增强的局部描述子
泡泡机器人SLAM
34+阅读 · 2019年9月18日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
【论文推荐】最新八篇视频描述生成相关论文—在线视频理解、联合定位和描述事件、生成视频、跨模态注意力机制、联合事件检测和描述
【论文推荐】最新八篇视频描述生成相关论文—在线视频理解、联合定位和描述事件、生成视频、跨模态注意力机制、联合事件检测和描述
专知
11+阅读 · 2018年6月4日
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
【论文推荐】最新6篇目标检测相关论文—场景文本检测 、显著对象、语义知识转移、混合监督目标检测、域自适应、车牌识别
专知
19+阅读 · 2018年3月16日
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
专知
74+阅读 · 2018年1月16日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
相关论文
The Trojan Example: Jailbreaking LLMs through Template Filling and Unsafety Reasoning
Arxiv
0+阅读 · 2月18日
Steering Dialogue Dynamics for Robustness against Multi-turn Jailbreaking Attacks
Arxiv
0+阅读 · 2月16日
Multi-Turn Adaptive Prompting Attack on Large Vision-Language Models
Arxiv
0+阅读 · 2月16日
ShallowJail: Steering Jailbreaks against Large Language Models
Arxiv
0+阅读 · 2月13日
TrailBlazer: History-Guided Reinforcement Learning for Black-Box LLM Jailbreaking
Arxiv
0+阅读 · 2月6日
Pattern Enhanced Multi-Turn Jailbreaking: Exploiting Structural Vulnerabilities in Large Language Models
Arxiv
0+阅读 · 2月5日
Proactive defense against LLM Jailbreak
Arxiv
0+阅读 · 2月2日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
Defending Large Language Models Against Jailbreak Attacks via In-Decoding Safety-Awareness Probing
Arxiv
0+阅读 · 1月30日
Enhancing Model Defense Against Jailbreaks with Proactive Safety Reasoning
Arxiv
0+阅读 · 1月28日
相关基金
图文混合跨媒体知识单元的模糊分类方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
改进智能优化策略多机动目标跟踪方法研究
国家自然科学基金
17+阅读 · 2015年12月31日
基于上下文精化的并发对象活性的描述及验证
国家自然科学基金
1+阅读 · 2015年12月31日
多标记文本数据流分类方法研究
国家自然科学基金
3+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于上下文感知和异质特征集成的SAR图像分割与评价
国家自然科学基金
2+阅读 · 2015年12月31日
社交网络环境下基于协同过滤的上下文感知推荐系统研究
国家自然科学基金
6+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top