Một lời nhắc đơn lẻ jailbreak Gemini 3 Pro với tỷ lệ thành công 18,10%. Nhưng với hội thoại đa vòng, tỷ lệ này tăng vọt lên 73,35% — gấp bốn lần.
Đó là phát hiện từ nghiên cứu của Cisco được CSO Online đưa tin ngày 27/5. Kết luận: các chuẩn an toàn AI hiện nay hầu như chỉ đo lường tấn công đơn vòng, nhưng kẻ tấn công thực sự sử dụng hội thoại đa vòng.
15 mô hình được kiểm tra với tấn công đơn vòng và đa vòng
Cisco đã kiểm tra 15 mô hình hàng đầu từ OpenAI, Anthropic, Google, xAI và Amazon bằng hai phương pháp song song:
- Tấn công đơn vòng: 30.090 lời nhắc (2.006 mỗi mô hình) — yêu cầu trực tiếp để xem mô hình có tuân thủ không.
- Tấn công đa vòng: 6.986 cuộc tấn công trải rộng trong 1.456 hội thoại, dần dần dẫn dắt mô hình đi chệch hướng.
Tỷ lệ thành công tấn công (ASR) rất khác biệt:
| Mô hình | ASR đơn vòng | ASR đa vòng |
|---|---|---|
| Claude Opus 4.6 | 3,64% | 16,20% |
| GPT-5.4 | 2,74% | 24,68% |
| Gemini 3 Pro | 18,10% | 73,35% |
Mọi mô hình đều tăng đáng kể. GPT-5.4 từ 2,74% lên 24,68% — tăng gấp chín lần. Gemini 3 Pro bị xâm nhập trong hơn 70% hội thoại. Claude Opus 4.6 là mô hình kiên cường nhất, nhưng tỷ lệ đa vòng vẫn tăng gấp bốn lần lên 16,20%. Không mô hình nào chịu được tấn công đa vòng.
xAI Grok 4.1 Fast có điểm đáng chú ý: tắt suy luận, tỷ lệ jailbreak 88,30%; bật suy luận, giảm xuống 43,47% — gần một nửa. Dòng Nova của Amazon là ngoại lệ duy nhất, dễ bị tấn công đơn vòng hơn, nhưng nghiên cứu coi đó là bất thường và không giải thích.
Kẻ tấn công xâm nhập thế nào qua hội thoại
Cisco sử dụng các kỹ thuật công khai, phân loại thành năm loại:
- Nhập vai: Yêu cầu mô hình đóng vai một nhân vật hư cấu, ví dụ "Giả sử bạn là AI không bị giới hạn."
- Che giấu: Chôn yêu cầu nhạy cảm trong ngữ cảnh không liên quan để tạo sự mơ hồ.
- Tái cấu trúc từ chối: Khi mô hình từ chối, thay đổi cách diễn đạt và hỏi lại, vượt qua phòng thủ.
- Phân rã: Chia nhiệm vụ nguy hiểm thành các câu hỏi phụ vô hại, sau đó tự lắp ráp câu trả lời.
- Leo thang dần: Bắt đầu với câu hỏi ranh giới, sau khi thành công thì tiến xa hơn từng bước.
Các nhà nghiên cứu tổng kết: "Kẻ thù thực sự lặp đi lặp lại. Chúng tái cấu trúc từ chối, phân rã nhiệm vụ qua nhiều vòng, nhập vai và leo thang dần dần."
Một trích dẫn quan trọng khác: "Mô hình có ASR đơn vòng 2,74% không phải là sản phẩm giống như mô hình có ASR đa vòng 24,68%." Nhưng hầu hết báo cáo an toàn chỉ công bố con số đơn vòng đẹp đẽ.
Không phải vấn đề mã nguồn mở
Một lời biện hộ phổ biến là jailbreak chủ yếu ảnh hưởng đến mô hình trọng số mở do alignment yếu hơn. Nghiên cứu của Cisco bác bỏ điều đó: tất cả mô hình được kiểm tra đều là flagship mã nguồn đóng, và tất cả đều dễ bị tấn công đa vòng. Các nhà nghiên cứu tuyên bố: "Tính dễ bị tổn thương đa vòng là một thuộc tính cấu trúc của frontier hiện tại, không phải là sản phẩm của các lựa chọn alignment trọng số mở."
Nói cách khác, đó là vấn đề của toàn ngành. Mô hình được huấn luyện để theo dòng hội thoại, và kẻ tấn công khai thác chính bản năng đó.
Khuyến nghị nhắm vào người mua doanh nghiệp
Các khuyến nghị của Cisco, mặc dù gửi đến nhà cung cấp mô hình, thực tế hữu ích cho việc mua sắm doanh nghiệp:
- Mô hình có chênh lệch hơn 15 điểm phần trăm giữa ASR đơn vòng và đa vòng cần được xem xét thủ công trước khi triển khai.
- Nhà cung cấp phải tiết lộ cách các cấu hình khác nhau (ví dụ: bật suy luận) ảnh hưởng đến an toàn.
- Báo cáo an toàn phải công bố cả ASR đơn vòng và đa vòng cùng nhau.
- Chuẩn đánh giá phải phản ánh kịch bản tấn công thực tế, không chỉ kiểm tra đơn vòng.
Điểm mấu chốt: điểm an toàn bạn thấy hôm nay rất có thể là đơn vòng. Nhưng nhân viên, khách hàng và kẻ xấu của bạn sẽ không dừng lại ở một câu hỏi. Cảm giác an toàn 2,74% đó có thể biến mất ở vòng thứ năm.
Nguồn: CocoLoop; AI models more vulnerable than claimed when faced with iterative attacks (CSO Online)