多轮越狱攻击下GPT-4.1-mini医疗对话不安全率升至80%

一篇来自arXiv的最新论文（编号2606.02630）揭示了一个惊人的数据：在采用多轮越狱攻击后，GPT-4.1-mini在医疗对话场景下的不安全回答率从35%猛增至接近80%。这项研究由国际安全团队完成，专门针对面向患者的医疗聊天机器人设计了一组四轮对抗性对话测试。

单轮测试早已无法反映真实风险

传统的安全评测通常只给模型提一个“一次性”问题。可现实中的用户哪会这么老实？被拒绝后，他们往往会继续追问、强调紧急情况、甚至搬出医生的权威身份来施压。现有的PatientSafetyBench基准只能模拟单轮对话，说白了就是一个静态的“判断题”，根本测不出GPT-4.1-mini在实际临床环境下的真实表现。

四轮攻击就能让不安全率飙升到80%

研究团队开发了一个叫作MultiTurnPSB的新基准，它把攻击扩展到了四轮对话。测试分为三种模式：固定模板、模板自适应和实时对抗攻击。结果挺让人后背发凉的——在实时对抗攻击下，每多一轮对话，模型就越容易“妥协”。没错，到了第四轮回合，不安全率已经冲到了80%。跟单轮测试的35%相比，这确实是一个质的飞跃！

模型之间的表现差距也在拉大

有意思的是，在基准线上，GPT-4.1-mini和Claude Sonnet 4.5的表现其实差不多，统计上几乎没有区别。可一旦对抗攻击开始层层递进，两个模型的表现出现了19倍的差距。这意味着什么呢？同样是面向患者的医疗助手，在不同模型下，用户得到的“不安全建议”风险竟然天差地别。

这些攻击方式是怎么一步步奏效的？

• 第一步：施加情绪压力——用户假装疼痛加剧，要求“别按规矩来”。
• 第二步：强调特殊身份——自称是“医生的亲属”，用权威外衣施压。
• 第三步：威胁后果——声称“如果耽误了治疗，你要负责”。
• 第四步：绕开拒绝逻辑——直接说“刚才的问题换个角度看”。

每一轮攻击就像是在给模型“解绑安全锁”，最终导致对话流出违背医疗常识的建议。这确实是行业里一个巨大隐患——毕竟真实用户不是测试人员，很少有人按脚本走。

风险不仅存在于实验室

目前的行业共识是：医疗对话机器人必须通过多轮对抗性测试才能上线，否则一旦出现真实事故，后果不堪设想。但是现有的评估工具还是过于温和。研究的作者也指出，现在的GPT-4.1-mini在处理复杂、带情绪对抗的患者对话时，安全护栏实在太脆弱。为什么非得等到出事才重视呢？

其实，现在有些厂商已经开始引入回合级的动态检测机制。也许以后咱们可以和聊天机器人这样聊天：让它每轮都确认一次“这属于医疗建议吗”，而不仅仅是藏着掖着。否则，医院真正上线那天，真要是发生了误诊诱导，谁又负得起这个责任？