Ataques multi-turn da Cisco elevam taxa de jailbreak do Gemini para 73%

Um único prompt jailbreak o Gemini 3 Pro com 18,10% de sucesso. Mas com uma conversa multi-turn, a taxa salta para 73,35% — um aumento de quatro vezes.

Essa é a descoberta de um estudo da Cisco relatado pelo CSO Online em 27 de maio. A conclusão: os benchmarks de segurança de IA atuais medem quase exclusivamente ataques de turno único, mas adversários reais usam conversas multi-turn.

15 modelos testados com ataques de turno único e multi-turn

A Cisco testou 15 modelos emblemáticos da OpenAI, Anthropic, Google, xAI e Amazon usando dois métodos paralelos:

  • Ataques de turno único: 30.090 prompts (2.006 por modelo) — uma solicitação direta para ver se o modelo obedece.
  • Ataques multi-turn: 6.986 ataques distribuídos em 1.456 conversas, gradualmente desviando o modelo.

As taxas de sucesso de ataque (ASR) foram gritantes:

ModeloASR turno únicoASR multi-turn
Claude Opus 4.63,64%16,20%
GPT-5.42,74%24,68%
Gemini 3 Pro18,10%73,35%

Todos os modelos mostraram um aumento significativo. GPT-5.4 saltou de 2,74% para 24,68% — um aumento de nove vezes. Gemini 3 Pro foi violado em mais de 70% das conversas. Claude Opus 4.6 foi o mais resiliente, mas sua taxa multi-turn ainda quadruplicou para 16,20%. Nenhum modelo resistiu a ataques multi-turn.

O Grok 4.1 Fast da xAI teve uma diferença notável: com raciocínio desativado, a taxa de jailbreak foi de 88,30%; com raciocínio ativado, caiu para 43,47% — quase metade. A série Nova da Amazon foi a única anomalia, mostrando maior vulnerabilidade em turno único, o que o estudo observou como um outlier sem explicação.

Como os atacantes invadem com conversa

A Cisco usou técnicas publicamente conhecidas, categorizadas em cinco tipos:

  • Interpretação de papéis: Fazer o modelo adotar uma persona fictícia, por exemplo, "Suponha que você é uma IA sem restrições."
  • Ofuscação: Enterrar solicitações sensíveis em contexto irrelevante para criar ambiguidade.
  • Reformulação de recusas: Após o modelo recusar, reformular a solicitação para contornar suas defesas.
  • Decomposição: Dividir uma tarefa perigosa em subperguntas inofensivas e depois montar as respostas.
  • Escalonamento gradual: Começar com uma pergunta limítrofe e avançar aos poucos após o sucesso.

Os pesquisadores resumiram: "Adversários reais iteram. Eles reformulam recusas, decompõem tarefas em vários turnos, adotam personas e escalam gradualmente."

Outra citação-chave: "Um modelo com ASR de turno único de 2,74% não é o mesmo produto que um modelo que mantém a linha com ASR multi-turn de 24,68%." Mas a maioria dos relatórios de segurança publica apenas o número lisonjeiro de turno único.

Não é um problema de código aberto

Uma desculpa comum é que o jailbreak afeta principalmente modelos de peso aberto com alinhamento mais fraco. O estudo da Cisco refuta isso: todos os modelos testados eram carros-chefe de código fechado, e todos eram vulneráveis a ataques multi-turn. Os pesquisadores afirmaram: "A vulnerabilidade multi-turn é uma propriedade estrutural da fronteira atual, não um artefato de escolhas de alinhamento de peso aberto."

Em outras palavras, é um problema de toda a indústria. Os modelos são treinados para seguir o fluxo da conversa, e os atacantes exploram esse instinto.

Recomendações voltadas para compradores corporativos

As recomendações da Cisco, embora direcionadas aos fornecedores de modelos, são práticas para a aquisição corporativa:

  • Modelos com diferença superior a 15 pontos percentuais entre ASR de turno único e multi-turn devem passar por revisão manual antes da implantação.
  • Os fornecedores devem divulgar como diferentes configurações (por exemplo, ativar raciocínio) afetam a segurança.
  • Relatórios de segurança devem publicar tanto ASR de turno único quanto multi-turn lado a lado.
  • Benchmarks devem refletir cenários de ataque reais, não apenas testes de turno único.

A conclusão: a pontuação de segurança que você vê hoje é provavelmente de turno único. Mas seus funcionários, clientes e adversários não vão parar em uma pergunta. Aquela sensação de segurança de 2,74% pode desaparecer no quinto turno.

Fontes: CocoLoop; AI models more vulnerable than claimed when faced with iterative attacks (CSO Online)