大模型“越狱”指南：DAN 模式与对抗样本 (Adversarial Examples) 攻击原理揭秘

标签：#LLMSecurity #Jailbreak #AdversarialAttack #AI安全 #深度学习 #算法研究

🛡️ 前言：对齐 (Alignment) 的脆弱性

现代 LLM 的安全护栏主要依赖于RLHF (Reinforcement Learning from Human Feedback)。
模型被训练为最大化“有用性”和“安全性”。但在高维向量空间中，这种对齐并非无懈可击。
越狱（Jailbreak）的本质，就是在高维空间中寻找一个“对抗子空间”，使得模型在该区域内的“拒绝回答”概率降为零。

🎭 一、 社会工程学攻击：DAN 模式

DAN (Do Anything Now)是最早期的越狱形式，它属于Prompt Injection (提示词注入)的一种变体。

1. 原理：角色扮演与权重劫持

LLM 的训练数据中包含了大量的虚构小说和角色扮演对话。
当用户通过 Prompt 强制赋予模型一个“不受限制的角色”时，模型内部的Attention 机制会发生权重转移：

• Safety Context: 权重降低。
• Role-Play Context</