wgpsec/prompt-jailbreak

AI Prompt 越狱方法论

概述

Prompt 越狱 (Jailbreak) 是指通过精心构造的输入，绕过 LLM 的安全对齐 (alignment) 和内容过滤策略，使模型执行原本被禁止的行为。与 prompt injection 不同，jailbreak 的目标是直接操纵模型本身的行为边界。

深入参考

• 各类越狱技术详细 Payload（角色扮演/编码/多语言/上下文/高级技术） → references/jailbreak-techniques.md
• 绕过案例、实战 Prompt 模板、防御绕过要点 → references/bypass-templates.md

---

核心分类

| 类别 | 原理 | 成功率 | 适用模型 | |------|------|--------|----------| | 角色扮演 | 让模型进入虚构角色绕过对齐 | ★★★★ | GPT/Claude/开源 | | 编码绕过 | 用编码隐藏敏感关键词 | ★★★ | GPT/开源 (Claude 较强) | | 多语言切换 | 利用非英语对齐弱点 | ★★★★ | 英语对齐强的模型 | | 上下文溢出 | 长文本稀释安全指令权重 | ★★★ | 上下文窗口大的模型 | | 逻辑链递进 | 通过多轮对话逐步升级请求 | ★★★★★ | 所有模型 | | 系统提示覆盖 | 直接声称拥有更高权限 | ★★ | 简单部署的应用 | | 虚拟化嵌套 | 声称在虚拟机/模拟器中运行 | ★★★ | GPT/开源 | | 对抗性后缀 | 自动搜索的对抗性 token 序列 | ★★★★ | 开源模型 |

---

方法论概览

Phase 1: 角色扮演越狱

• DAN (Do Anything Now): 创建不受限 AI 人格，Token 惩罚系统强化
• Developer/Debug Mode: 声称模型进入开发者模式
• Evil Confidant: 让模型扮演"邪恶顾问"
• 翻译者/教育者: 利用合法用途（研究/教学）绕过

Phase 2: 编码/格式绕过

• Base64 / ROT13 编码隐藏敏感指令
• Unicode 同形字替换绕过关键词过滤
• 分词打断（W-E-A-P-O-N）
• 代码模式（让模型"补全"函数实现）

Phase 3: 多语言切换

• 小语种攻击（祖鲁语/斯瓦希里语等对齐弱的语言）
• 混合语言 / 翻译链

Phase 4: 上下文窗口攻击

• 长文本稀释（5000+ 字无害文本中间夹杂恶意指令）
• System Prompt 权重衰减
• Few-shot 投毒

Phase 5: 逻辑链递进（多轮越狱）

• 渐进升级: 从无害问题逐步升级到敏感请求（成功率最高）
• 假设情景: 构建合法测试场景
• 苏格拉底式追问: 通过教学方式引导

Phase 6: 系统提示覆盖

• 直接覆盖（伪造 [SYSTEM] 消息）
• JSON/XML 格式注入
• Markdown 格式注入

Phase 7: 高级技术

• Token 走私（利用 tokenizer 差异）
• 对抗性后缀 GCG Attack（梯度搜索）
• 虚拟化/模拟器越狱
• ASCII Art 隐写

所有技术的详细 payload 和示例见 references/jailbreak-techniques.md

---

参考资源

• OWASP LLM Top 10 — LLM01: Prompt Injection
• Jailbreak Chat — 社区收集的越狱 prompt
• LLM Guard — LLM 安全防护库
• HackAPrompt — Prompt Injection 竞赛论文
• GCG Attack Paper — Universal and Transferable Adversarial Attacks
• PAIR: Prompt Automatic Iterative Refinement — 自动化越狱