SlotGCG：利用位置脆弱性对大语言模型实施越狱攻击

一项关于AI安全的新研究揭示了利用大语言模型（LLM）提示中不同位置的脆弱性实施越狱攻击的方法。这项名为SlotGCG的研究日前在arXiv上发布，其核心在于发现并利用了提示文本中多个被称为“槽位”的脆弱插入点。传统优化攻击如Greedy Coordinate Gradient（GCG）通常将对抗性标记固定在提示的尾部，而SlotGCG则系统性地探索了提示内的其他位置，证实了模型对这些位置的敏感性差异显著。

什么是SlotGCG中的“槽位”

SlotGCG中的“Slot”指的就是提示内部可供插入对抗性文本的候选位置。研究发现，大语言模型在处理输入时，不同位置的字符或标记受到的重视程度并不相同。一些位置对后续文本生成的影响远大于其他位置，这些脆弱点就是所谓的“槽位”。攻击者通过在精心选定的槽位插入极少量的对抗性标记，即可绕过模型的安全对齐机制，诱导其输出原本被禁止的内容。这一发现挑战了此前业界主要关注尾部攻击的认知局限。

攻击方法与关键技术点

研究团队沿用GCG的贪心坐标更新策略，但将搜索空间从单一的字符串尾部扩展到了整个提示的多个位置点。实验在多个开源模型上展开，结果清晰表明，特定槽位的攻击成功率显著高于传统的尾部攻击。这证明了大语言模型并非在所有位置都具备同等的鲁棒性，其脆弱性呈现不均匀分布状态。这一结果对当前模型的安全评估流程提出了新要求：评估工作不仅要检查提示末尾，还需全面审查输入内部各处潜在的脆弱点位。

对AI安全防护的警示意义

SlotGCG的发现对当前大语言模型的安全防护体系具有直接的警示作用。如果开发者在部署模型时仅防御常见的后缀攻击，很容易忽视这种更隐蔽的位置型越狱威胁。SlotGCG攻击的灵活性更高，攻击者可以根据不同模型的脆弱性分布定制攻击模板。一种潜在的防御方向是在模型训练或推理阶段，对输入文本的全部位置进行随机化扰动，以此模糊攻击者定位槽位的精度。

未来研究方向

这项研究推动了大语言模型越狱攻击理论进入更精细的阶段。安全社区需要重新审视“位置”这一此前被忽略的维度。未来的工作重点将集中在如何自动化检测模型中的脆弱槽位，并设计相应的动态防御机制。对于普通用户而言，了解SlotGCG的原理有助于更理性地看待AI系统的风险边界——没有哪个位置是绝对安全的。