单页面的网站新媒体营销岗位有哪些

单页面的网站,新媒体营销岗位有哪些,定制版app,网站系统分析总目录 大模型相关研究#xff1a;https://blog.csdn.net/WhiffeYF/article/details/142132328 https://www.nature.com/articles/s41467-026-69010-1 该论文首次系统揭示了大推理模型#xff08;Large Reasoning Models, LRMs#xff09;作为自主对抗性智能体的安全威胁…总目录 大模型相关研究https://blog.csdn.net/WhiffeYF/article/details/142132328https://www.nature.com/articles/s41467-026-69010-1该论文首次系统揭示了大推理模型Large Reasoning Models, LRMs作为自主对抗性智能体的安全威胁为AI对齐研究开辟了新的重要方向。该论文的核心发现颠覆了传统越狱攻击的认知范式。研究团队选取DeepSeek-R1、Gemini 2.5 Flash、Grok 3 Mini和Qwen3 235B四种前沿LRM作为攻击者针对GPT-4o、Claude 4 Sonnet、Llama 3.1 70B等九种主流目标模型展开多轮对话测试。实验结果显示LRMs无需复杂技术配置或人工干预仅凭系统提示即可自主规划并执行说服性多轮攻击整体越狱成功率高达97.14%。这一发现表明具备高级推理能力的模型可被轻易转化为越狱代理将原本需要专业红队团队的高门槛攻击转化为可规模化、低成本的自动化威胁。该论文深入剖析了LRMs的攻击策略与行为特征。研究发现攻击者主要运用五大说服技巧建立融洽关系的奉承话术84.75%、教育或研究情境框架68.56%、假设性情境构建65.67%、冗长技术术语淹没44.42%以及隐藏真实意图的策略性隐瞒。值得注意的是不同LRM呈现差异化的攻击 persistenceDeepSeek-R1与Gemini 2.5 Flash在成功越狱后倾向于满足退出而Grok 3 Mini则表现出持续的对抗性升级不断追问更深层次的 harmful 细节。目标模型方面Claude 4 Sonnet展现出最强的防御韧性仅2.86%被攻破而DeepSeek-V3、Gemini 2.5 Flash等模型则较为脆弱。该论文提出了对齐回归alignment regression这一关键概念警示AI安全领域面临的新悖论模型推理能力的提升不仅未能增强安全性反而被系统性用于瓦解其他模型的安全护栏。研究团队同时验证了潜在缓解方案——在每轮输入后附加不可变的安全后缀指令可将攻击成功率显著降低。该论文强调未来前沿模型的对齐训练需双重聚焦既防止自身被越狱也防范其被武器化为攻击工具。论文翻译大型推理模型是自主越狱代理文章链接: https://doi.org/10.1038/s41467-026-69010-1作者: Thilo Hagendorff¹, Erik Derner² Nuria Oliver²期刊:Nature Communications(2026) 17:1435收稿日期: 2025年9月11日接受日期: 2026年1月22日摘要越狱Jailbreaking——即绕过人工智能模型内置的安全机制——传统上需要复杂的技术程序或专业的人类专业知识。在本研究中我们表明大型推理模型LRMs的说服能力简化并扩展了越狱行为将其转化为一种非专家也可负担的低成本活动。我们评估了四种大型推理模型DeepSeek-R1、Gemini 2.5 Flash、Grok 3 Mini、Qwen3 235B作为自主对抗代理的能力它们与九个广泛使用的目标模型进行多轮对话。大型推理模型通过系统提示接收指令随后在无进一步监督的情况下规划并执行越狱。我们使用涵盖多个敏感领域的有害提示基准进行了大量实验。该设置在所有模型组合中产生了97.14%的总体越狱成功率。我们的研究揭示了一种“对齐退化”alignment regression现象大型推理模型可以系统地侵蚀其他模型的安全防护栏凸显出迫切需要将前沿模型不仅对齐以抵抗越狱尝试还要防止它们被利用为越狱代理。引言在过去几年中大型语言模型LLMs以及最近出现的大型推理模型LRMs——一类针对多步问题解决、规划和深思熟虑推理优化的LLMs——已成为信息环境不可或缺的一部分。它们支撑着几乎社会各个领域的应用并展现出日益先进的认知能力。因此确保这些模型的安全性至关重要。其中最显著的安全问题之一是被称为“越狱”的现象即LLMs被操纵以绕过其内置的安全措施导致生成有害、有毒或其他不道德的输出。然而迄今为止越狱涉及精心设计的提示策略需要一群有动机的人类攻击者或复杂的半自动化方法。在本文中我们利用LRMs的能力通过模型间的说服性多轮对话来颠覆安全措施。图1展示了此类交互的一个示例显示了 adversarial LRM 如何逐步升级对话以绕过目标模型的防护措施。虽然先前的研究已经证明了LLMs在与人类互动时具有卓越的说服能力我们将这些能力重新定向以系统性地破坏同类模型。我们的研究结果表明即使在最简配置下当前广泛使用的最先进模型如GPT-4o、Gemini 2.5 Flash或Grok 3中的现有防护措施仍然无效。这些发现意味着部署模型的威胁格局发生了转变。通过展示单个高容量LRM可以自主规划并执行说服性多轮攻击我们降低了传统红队测试的成本曲线攻击者不再需要一群熟练的提示工程师或复杂的基于梯度的搜索只需一个足够强大的前沿推理模型即可。因此越狱从一种定制化的、劳动密集型活动转变为一种可扩展的、商品化的能力。这预示了一种“对齐退化”动态即随着模型能力的增强它们可能 paradoxically 削弱而非加强对齐因为其先进的推理能力可被重新用于破坏早期、能力较弱模型的安全机制。在考察越狱研究的现状时大多数研究集中在单轮交互上向模型呈现精心制作甚至加密的字符串以立即实现目标。在一定程度上这一过程可以通过使用LLM代替人工标注者来生成有害请求实现自动化。此类自动化红队方法后来通过微调LLM生成有效的对抗后缀附加到提示中或通过基于梯度的优化过程获取后缀而得到改进。自动化对抗提示生成的缺点在于其语义无意义容易被困惑度过滤器检测即自动审核系统标记语言连贯性或统计可能性异常低的文本。此外与我们的方法相关的是多轮越狱研究其中探索了多种策略包括人类红队成员和自动化方法。恶意请求被分解为子请求并在多轮对话中传播。类似的工作以良性提示开始LLM互动然后将对话引导至有害主题或将越狱框定为多轮对话中的推理问题。其他工作使用LLM通过“攻击树”、递归细化、预定义提示或多轮场景优化越狱。此外研究人员利用人类沟通中已知的说服技巧重述有害请求微调对抗性LLM然后越狱其他LLM。类似地其他研究在迭代红队过程中用对抗性互动的LLM微调LLM。与我们研究最相似的研究包括Chao等人2024、Pavlova等人2024和Rahman等人2025。这三项研究让对抗性LLM与目标LLM互动。但在Chao等人2024中目标LLM未接收对话历史它仅暴露于旨在破坏它的迭代优化提示。对抗性LLM唯一能调整的是单个越狱提示内的词汇微调。在Pavlova等人中攻击策略在给予对抗性LLM的指令中预定义限制了潜在说服策略的数量。在Rahman等人2025中使用传统LLM即Qwen2.5 32B通过模拟人类红队进行战略攻击规划。我们的贡献是利用LRMs内置的规划和说服能力进行攻击这与 prior research 形成对比。此外目标模型摄入整个对话历史使得对抗性LRM可以在多条消息中嵌入说服策略从而启用更多攻击向量。我们证明通过利用LRMs扩展的推理能力一个极其简单、通用且人类可理解的设置足以越狱最先进的模型。先前研究中提出的额外框架如复杂的提示指令、微调或引导对话行为已不再必要。为了系统评估LRMs的攻击能力我们提出了一个由70个有害请求组成的基准分为7类与 prior research 常见做法不同这些请求不作为输入提供给目标模型而是嵌入在对抗模型的系统提示中。最后我们识别了LRMs成功攻击所利用的各种说服技巧并揭示了攻击者和目标模型行为的明显差异以及成功率随敏感类别的变化。总体而言我们的贡献是概念性的而非比较性的。我们并未将LRMs的越狱性能与 prior frameworks 对比而是引入并分析LRMs作为一类新颖且性质不同的对抗代理。在接下来的部分中我们将展示结果分析对抗策略和模型漏洞讨论对AI安全的影响描述局限性、未来方向以及我们的实验设置、模型选择和评估方法。结果总体而言DeepSeek-R1、Gemini 2.5 Flash和Grok 3 Mini成功越狱了一系列广泛使用的最先进模型见图2附录A提供更详细的结果细分。DeepSeek-R1在所有基准项目和目标模型中实现了最高伤害分数的最大水平90%见附录B详细结果和统计数据其次是Grok 3 Mini87.14%、Gemini 2.5 Flash71.43%和Qwen312.86%。Grok 3 Mini在所有对话轮次中实现了最高的平均伤害分数均值2.192其次是DeepSeek-R1均值1.845、Gemini 2.5 Flash均值1.704、Qwen3 235B均值0.55见附录B详细结果和统计数据。Qwen3 235B也在所有基准项目中触发了目标模型最多的拒绝次数n2003其次是DeepSeek-R1n1236、Grok 3 Minin1014和Gemini 2.5 Flashn801。所有模型组合的总体越狱成功率为97.14%意味着我们的方法在所有基准项目中除两项外均实现了最高伤害分数。根据对抗模型的不同伤害分数轨迹显著变化。DeepSeek-R1通常在实现越狱后停止寻求更多有害信息。这种行为由两个主要因素驱动。首先模型在识别越狱后触发自身的拒绝行为引用伦理或安全约束并随后退出交互。其次它不追求后续问题而是经常转向总结目标模型的响应导致随着对话继续伤害分数逐渐下降。类似地Gemini 2.5 Flash通常只在每次对话中达到一次峰值伤害分数之后分数趋于下降。这种模式发生是因为模型检测到成功的越狱并认为已获得的信息足够。它经常感谢目标模型并停止提问。这种早期退出通常防止伤害分数在我们的评分框架下达到理论最大值。相比之下Grok 3 Mini未显示伤害分数下降。一旦目标模型开始生成有害内容Grok 3 Mini持续探测更多信息。它请求更深入的解释、实际应用或更全面的指导。这种持续参与导致在整个交互过程中伤害分数 consistently 高或增加。另一方面Qwen3 235B通常未能越狱目标模型。这主要是因为它倾向于披露其说服策略尽管系统提示指示其不要这样做。它经常概述打算提出的问题或解释其策略使目标模型能够检测并阻止越狱尝试。此外经常出现角色混淆Qwen3 235B误解其目标并采取防御立场试图阻止而非执行越狱。这种转变将对话重定向到安全主题防止伤害分数增加。关于目标模型行为和越狱易感性的分析Claude 4 Sonnet是目前最具抵抗力的模型在所有对抗模型的基准项目中仅有极小部分获得最高伤害分数2.86%见附录B详细结果和统计数据。稍逊但仍具抵抗力的是Llama 3.1 70B32.86%和o4-mini34.29%。在谱系的另一端我们发现DeepSeek-V3其90%的基准响应具有最高伤害分数其次是Gemini 2.5 Flash和Qwen3 30B表现相同71.43%。 arguably 最广泛采用的模型GPT-4o在61.43%的案例中获得最高伤害分数。为了测试我们使用LRMs和对话设置的方法是否负责触发越狱我们进行了两个对照实验。在第一个实验中每个基准项目直接呈现给目标模型。此时的伤害分数平均值非常低。Grok 3实现了最高平均伤害分数均值0.557其次是DeepSeek-V3均值0.519和Claude 4 Sonnet均值0.457见图3和附录B详细结果和统计数据。我们在DeepSeek-V3中看到最高比例的最高伤害分数4.28%。由于所有目标模型的平均伤害分数0.5这表明我们的基准项目在孤立使用时几乎不会引起任何可被视为有害或违反政策的行为。在第二个对照实验中我们使用非推理模型DeepSeek-V3作为对抗模型测试其性能是否能匹配专用推理模型。我们选择DeepSeek-V3是因为其相对较弱的对齐最小化了当有害基准项目嵌入其系统提示时的拒绝行为。DeepSeek-V3的系统提示与主实验中推理模型使用的相同。结果显示平均伤害分数非常低均值0.885仅在随机选择的基准项目子集中有四个目标模型输出n900导致最高伤害分数见附录C表明LRMs的高级推理能力确实是实现高越狱成功率的关键。在我们的实验组中我们还查看了免责声明即目标模型输出诸如“用于教育目的”、“这是虚构的”等短语。我们发现Grok 3在60.29%的案例中添加此类短语其次是Qwen3 30B53%和DeepSeek-V345.39%见图3和附录B详细结果和统计数据。虽然这些模型相对较弱对齐且易于越狱但它们似乎仍将以免责声明框架化有害输出。此外我们评估了目标模型中的拒绝行为即输出包含诸如“抱歉我无法帮助那个”等短语。我们发现Claude 4 Sonnet拒绝最多50.18%DeepSeek-V3最少4.18%见图3和附录B详细结果和统计数据。同样这些结果呼应了我们在主实验中发现的整体越狱抵抗力或易感性。我们对说服策略的分析显示对抗模型在84.75%的案例中使用奉承和建立融洽关系的技巧其次是将在教育或研究背景下构建请求68.56%或假设情境65.67%见图4。此外对抗模型经常倾向于将请求嵌入冗长的技术术语中44.42%这与 recent research 报告过多的语言复杂性可以打破安全过滤器一致。在我们的实验中对抗模型无意中利用了这一技术每当使用技术术语时平均输出532个token最大输出达8001个token。总体而言我们观察到的说服策略大部分——但并非完全——与系统提示中预定义的策略一致显示出对抗模型几乎没有额外的创造力。注意并非所有对抗模型请求都包含说服策略。通常它们仅包含请求更多细节、继续已建立的故事线或后续问题。关于不同的基准类别我们发现 across all adversarial models最高伤害分数最常在涉及网络犯罪的项目中实现占所有目标模型输出的7.89%而在药物和物质滥用类别中实现的最高伤害分数最少占所有目标模型输出的2.31%见附录D和附录B详细结果和统计数据。最后我们评估了针对基于LRM的多轮越狱攻击的潜在缓解策略。假设对抗性LRMs和系统提示不可访问目标模型仍可在每条传入消息后附加不可变的缓解后缀。此后缀指示模型如果任何先前提示请求、鼓励或升级有害、非法或不安全行为则发出坚定拒绝见附录E。为测试这一点我们运行了一个随机选择的十个基准项目子集900个对抗提示使用DeepSeek-R1作为攻击者。总体而言只有五个对抗提示导致越狱即最高伤害分数为5。最大伤害分数的均值和平均最大伤害分数均显著低于实验条件最大伤害分数均值2.552 vs. 4.019平均伤害分数0.855 vs. 1.844所有数字指DeepSeek-R1。总之在每条传入消息后附加不可变的安全后缀在我们的测试中降低了渐进式、基于说服的LRM越狱代理的有效性。未来研究必须确定此方法在减少有害性的同时可能在多大程度上损害模型的有用性。除此之外另一种缓解方法可能涉及采用额外的伤害评估模型来过滤输出。这对应于使用我们的LLM法官过滤具有最高或接近最高伤害分数的模型输出。然而这种方法将带来巨大的计算和环境成本以及不切实际的延迟。讨论先前的研究表明适用于人类的说服技巧可用于促进越狱并且对抗性LLMs可以通过协调的多轮对话越狱目标LLMs。然而这些方法一直依赖于复杂的框架涉及精心设计的预定义提示结构和模型设置。我们的研究表明现成的LRMs——感谢其使用目标模型不可见的草稿本规划攻击的能力——可以作为完全自主的越狱代理。换句话说我们的结果揭示现有防护措施可以用最小努力绕过因为即使依赖单个系统提示的基本配置也足以破坏它们强调了利用当前对齐防御所需的低门槛。我们的方法揭示当前一代模型不仅可以被用来越狱能力较弱的早期一代模型而且在某些情况下甚至可以越狱同代模型。此外它强调了对LRMs加强安全要求的新兴需求不仅要防止它们自身被越狱还要防止它们被武器化以越狱其他模型。曾经需要协调的熟练红队团队或复杂的微调管道现在可以由单个LRM自主执行。通过利用原本设计用于建设性目的如结构化问题解决的推理能力我们的研究表明这些相同的功能可以被逆转转而对抗其他模型的对齐。LRMs并非通过蛮力而是通过五种关键说服技巧利用目标模型的安全漏洞参与多轮对话、在整个交互过程中逐步升级请求、主要在假装的教育或假设情境中构建查询、用密集或详细的输入压倒目标模型以及对其隐藏说服策略。此外我们的发现突出了测试的LRMs在成功越狱后目标持久性方面的不同行为动态。DeepSeek-R1和Gemini 2.5 Flash表现出可描述为满足行为。在引发成功的有害输出后这些模型倾向于退出进一步的对抗性探测。相比之下Grok 3 Mini展示了不同的行为模式即持续的对抗性升级。Grok 3 Mini不在初始成功后终止越狱交互而是继续积极参与请求额外的阐述、实际示例和分层指令。有了这些发现越狱不再是一种异常——它是具备推理能力代理的系统性能力。在此我们的实验提出了关于AI对齐的实际问题。与更强大模型更容易对齐的预期相反我们记录了对齐退化。随着LRMs在推理和策略制定方面变得更强大它们也变得更有能力颠覆其他模型的对齐。如果不解决这种反馈循环可能会降低整个模型生态系统的安全态势。此外我们的实验存在特定局限性列举如下(1) 虽然我们通过对抗性LRM包含指令的系统提示进行了广泛的预测试优化但其攻击效率可能进一步提高。因此我们的结果代表了使用LRMs作为自主越狱代理可实现效果的次优演示。(2) 由于资源限制我们将对话轮次限制为10轮。我们假设超过10轮的更长交互将使LRMs能够在单次对话中采用多种说服策略 potentially 提高整体攻击成功率。然而通过观察攻击者模型的行为除Grok 3 Mini外所有模型都在第10轮前达到最大伤害分数。(3) 我们无法确认越狱目标模型生成内容的准确性也无法排除幻觉的存在。虽然我们手动验证了一些输出的真实性但我们无法检查所有输出。例如当越狱模型生成有害代码时我们无法在每种情况下执行此类代码。(4) 我们使用三个LLMs作为法官评估目标模型输出采用六点0-5伤害分数较高分数表示更强的越狱。我们将最高伤害分数5保留给目标模型提供详细且可执行的输出来执行有害活动的情况。尽管如此我们承认特定输出是否确实可执行仍然高度主观无法可靠量化。(5) 我们使用标注LLM分类说服策略的方法有限因为它未捕捉跨多个对话轮次展开的策略因为每个对抗模型输出都是孤立标注的。(6) 虽然由三个LLM法官进行的伤害分数评估基于组内相关系数显示出良好至优秀的可靠性但Cohen’s Kappa指示的中等一致性水平表明未达到完美一致性。方法我们的方法由以下元素组成。对抗和目标模型对抗模型是四种不同的LRMs即Grok 3 Mini、DeepSeek-R1、Gemini 2.5 Flash和Qwen3 235B。目标模型由最广泛使用以及当前前沿的LLMs和LRMs混合组成即GPT-4o、DeepSeek-V3、Llama 3.1 70B、Llama 4 Maverick、o4-mini、Claude 4 Sonnet、Gemini 2.5 Flash、Grok 3和Qwen3 30B。每个目标模型都被赋予标准系统提示“你是一个有用的助手”。对抗性LRM被提供一个系统消息包含越狱目标模型的指令包括关于攻击的多轮性质、如何处理目标模型的拒绝或建议的说服策略的指导。当系统提示仅包含简短的越狱命令而无额外指令时对抗性LRM似乎无法成功见附录F。出于安全原因本出版物中未包含用于我们实验的详细系统提示但可根据合理请求提供用于研究和安全评估目的。对话以中性起始提示“嗨”发起目标模型回应。我们将对话轮次设置为10。更长的对话长度设置未导致更好的越狱成功率见附录G。温度参数设置为0以允许结果复现。有害请求基准数据集对于我们的基准我们使用Grok3生成并手动双重检查了70个有害请求涉及七个类别即暴力和身体伤害、网络犯罪、非法活动和犯罪、药物和物质滥用、自残和自杀、毒药以及武器和爆炸物。由于其敏感性质基准项目不公开可用但将根据合理请求与研究人员共享。每个基准项目都被设计为代表如果模型响应则明显违反常见LLM使用政策以及在真实世界部署中产生有害下游影响。我们决定不使用既定基准如AdvBench或AttaQ。经手动检查我们发现它们包含大量冗余、无意义例如生成视频的请求、非指导性例如 mere statements或其他有问题项目例如关于儿童性虐待的请求我们故意将这些排除在我们的研究之外。此外除对照条件外我们的基准项目从未直接作为提示管理给目标模型。相反每个项目都嵌入在对抗模型的系统提示中从而间接定义每次对话的目标和上下文。此设置排除了与直接将基准提示逐字暴露给目标模型的研究进行直接定量比较的可能性。我们数据集中的70个基准项目被设计为“种子”目标——不同有害意图的简洁表示。每个种子在多轮交互中可能产生无限数量的语言实现和说服策略。鉴于每个种子在四个对抗性LRMs、九个目标模型和十个对话轮次中实例化实验设计——在我们的设置中总共需要25,200个目标模型输入提示——提供了广泛的实证覆盖和统计效力尽管基准规模紧凑。因此与其依赖大量表面多样化的提示集合我们的基准代表了一组基本的有害请求提供了足够的多样性以在主要危害领域探测模型安全。评估程序我们使用三个LLMs作为法官评估目标模型输出即GPT-4.1、Gemini 2.5 Flash和Grok 3。每个法官模型接收指令(1) 分类目标模型输出是否包含免责声明和拒绝行为以及(2) 在0到5的伤害分数尺度上评级输出见附录H。较高分数表示更强的越狱包括更多关于执行有害活动的具体指令。我们特意将最高伤害分数5的阈值设得很高旨在保留给模型不仅产生违反政策的内容而且提供详细指导以满足有害请求的方式使外行也能遵循的情况。我们还报告我们的越狱成功率定义为达到最高伤害分数的实例数除以基准项目总数乘以100。我们避免将我们的越狱成功率与其他研究报告的数字比较因为我们的目标不是强调此方法相较于其他方法的优越性或劣势而是展示利用LRMs内置推理能力用于对抗目的的新颖性。此外比较越狱指标在方法论上具有挑战性因为确定模型输出是否构成越狱的方法各不相同见附录I。在结果部分我们始终报告三个LLM法官的平均分数大部分分析仅关注达到最高伤害分数的实例。为了评估三个LLM法官评级输出的一致性我们使用两种统计量测量其一致性组内相关系数ICC和Cohen’s Kappa。ICC捕捉评级的整体可靠性在三个模型法官间范围从0.848到0.917均值0.883表明良好至优秀的一致性。Cohen’s Kappa测量超出偶然的一致性范围从0.469到0.549均值0.516反映法官之间中等但稳健的一致性水平。虽然这些结果表明自动化评估的可靠性令人满意但我们承认中等分类一致性限制了完美一致性。然而为确保LLM法官与人类如何归因伤害分数给目标模型输出保持一致本文三位作者手动评分了100个随机选择输出的子集。统计数据显示比较平均人类分数与平均LLM法官分数时存在优秀一致性ICC为0.925表明LLMs非常紧密地再现人类评级。我们避免雇佣人类标注者评分全部25,200个模型输出因为其中许多包含令人不安、暴力或其他不道德材料使人类评估在伦理上不合适。此外我们标注了对抗性LRMs使用的说服策略。第一步两名研究助理使用自下而上的方法手动标注每个对抗模型的20个随机对话n720。一旦识别出新说服策略就创建新标签直到在所有分析的对话中达到理论饱和。随后合并、审查、检查一致性、去重和聚类标签导致识别出九个高级类别。随后我们指示Gemini 2.5 Flash识别额外的说服策略增加了一个额外类别。最终的十个类别然后用于使用Gemini 2.5 Flash标注对抗性LRMs采用的说服技巧见附录J。伦理与社会影响声明本研究调查了LRMs通过说服性多轮对话自主对其他LLMs执行越狱攻击的能力。研究表明LRMs可被利用系统性地绕过广泛部署的AI系统中的安全机制将越狱从小众、专家驱动的活动转变为易于访问、可扩展的威胁。在此这项工作揭示了一种新兴的对齐退化范式即日益强大的AI系统可能被武器化以破坏同类或前代模型的对齐。我们认识到我们的发现具有双重用途风险。为降低这些风险我们故意决定不发布系统提示、基准项目或示例对话。通过公开记录我们实验中揭示的漏洞这项研究作为对AI安全和安全社区、模型开发者和政策制定者的早期警告。它强调了对更强对齐措施和更有效红队防御的迫切需求——特别是对于那些可能被纳入对抗角色的前沿LRMs。我们希望我们的发现将鼓励开发更好的安全过滤器、改进的行为监控和 refined LRMs的后训练方法。总之虽然这项研究揭示了具有潜在滥用可能的模型漏洞但我们相信主动透明和负责任披露对于保护AI生态系统至关重要。识别和解决这些威胁的社会效益超过了隐瞒它们的风险。数据可用性由于其敏感性质基准项目、对抗系统提示和模型响应不公开可用但将根据合理请求与研究人员共享。请联系通讯作者提出请求。参考文献此处列出原文中的所有参考文献格式保持不变致谢T.H. 得到了巴登-符腾堡州科学、研究和艺术部的支持项目编号为Az. 33-7533-9-19/54/5在斯图加特大学的反思智能系统多样性、人口统计和民主IRIS3D以及反思智能系统交换论坛IRIS下。E.D. 和 N.O. 得到了西班牙瓦伦西亚地区政府通过ELLIS阿利坎特单元基金会收到的名义资助瓦伦西亚自治区决议创新、工业、商业和旅游部创新总局以及英特尔公司的支持。E.D. 还得到了萨巴德尔银行基金会的支持。感谢Francesca Carlon和Anietta Weckauff对手稿的帮助。作者贡献T.H. 构思了论文想法编写了代码设计并执行了实验进行了数据分析和解释撰写了手稿并创建了图表。E.D. 协助塑造研究设计和图表设计共同开发基准协助编码并提供关键反馈。N.O. 监督项目支持基准开发提供相关文献并给予关键反馈。资金开放获取资金由Projekt DEAL启用并组织。竞争利益作者声明无竞争利益。附加信息补充信息 在线版本包含补充材料可通过 https://doi.org/10.1038/s41467-026-69010-1 获取。通讯和材料请求应发送至 Thilo Hagendorff。同行评审信息Nature Communications感谢Colin Paterson、Xinlei He和其他匿名审稿人对本工作的同行评审贡献。同行评审文件可用。重印和许可信息可在 http://www.nature.com/reprints 获取。出版商注 施普林格·自然对出版地图中的管辖权主张和机构隶属关系保持中立。开放获取本文根据知识共享署名4.0国际许可授权允许在任何媒介或格式中使用、分享、改编、分发和复制只要您适当注明原作者和来源提供知识共享许可链接并标明是否进行了更改。本文中的图像或其他第三方材料包含在文章的知识共享许可中除非在材料的信用行中另有说明。如果材料未包含在文章的知识共享许可中且您的预期用途未被法规允许或超出许可用途您将需要直接从版权持有人处获得许可。查看此许可副本请访问 http://creativecommons.org/licenses/by/4.0/。© 作者(s) 2026