一、相关背景

随着人工智能技术的飞速发展，以 GPT 系列、LLaMA 等为代表的大模型凭借其强大的自然语言处理、知识整合与生成能力，在客服、医疗、教育、金融等众多领域得到了广泛应用，深刻改变了人们的生产生活方式。这些大模型能够处理海量数据，理解复杂的语义信息，并生成符合逻辑和语境的内容，为社会带来了巨大的便利和价值。

然而，大模型在展现强大能力的同时，其安全问题也日益凸显，对抗攻击便是其中不容忽视的一大威胁。对抗攻击指的是攻击者通过精心设计输入数据，如在正常的文本中添加微小的扰动、修改特定的词语或句子结构等，使得大模型在处理这些输入时产生错误的输出，从而达到欺骗模型、获取敏感信息、破坏系统正常运行等恶意目的。

例如，在金融领域，攻击者可能通过对抗攻击诱导大模型对贷款申请做出错误的评估，导致金融机构遭受损失[1]；在医疗领域，若大模型受到对抗攻击，可能会对患者的病情诊断给出错误建议，严重威胁患者的生命健康[2]。对抗攻击的存在，不仅降低了大模型的可靠性和可信度，也给其在关键领域的应用带来了极大的安全隐患，因此，研究大模型对抗攻击及相应的防御策略具有重要的现实意义。

二、红队大模型多轮对话的介绍及其优势

2.1 红队大模型多轮对话的介绍

红队大模型多轮对话是一种基于红队思维的大模型安全测试与防御方式。红队通常指的是在安全测试中模拟攻击者的角色，通过主动发起攻击来发现系统中的漏洞和弱点。红队大模型多轮对话则是让红队所使用的大模型与目标大模型进行多轮次的对话交互，在对话过程中，红队大模型会不断尝试使用各种可能的对抗性输入，以探测目标大模型的防御漏洞和潜在风险[3]。

在多轮对话中，红队大模型会根据目标大模型的每一轮回应，动态调整自己的输入策略，逐步深入地试探目标大模型的边界。这种方式不仅仅是单一的攻击尝试，更是一个持续的、互动的过程，能够更全面地了解目标大模型在面对不同类型对抗攻击时的表现。

2.2 红队大模型多轮对话的优势及意义

相较于单论攻击尝试, 多轮对话攻击具有一下优势:

1. 更贴近真实攻击场景：传统的对抗攻击测试往往是静态的，即使用固定的对抗样本对大模型进行测试。而在实际情况中，攻击者与目标系统的交互是动态的、多轮的。红队大模型多轮对话能够模拟这种真实的攻击过程，通过多轮的对话交互，更真实地反映大模型在实际应用中可能面临的安全威胁，从而发现那些在静态测试中难以察觉的漏洞。
2. 能挖掘深层次漏洞：单一的对抗样本攻击可能只能触发大模型表面的错误，而红队大模型多轮对话通过持续的、有策略的交互，能够逐步引导目标大模型暴露更深层次的漏洞。例如，在多轮对话中，红队大模型可以不断调整提问方式、补充信息，逐步突破目标大模型的防御机制，发现其在逻辑推理、知识关联等方面的潜在缺陷。
3. 具有更强的适应性和灵活性：不同的大模型具有不同的架构、训练数据和优化目标，因此对对抗攻击的防御能力也存在差异。红队大模型多轮对话可以根据目标大模型的特点，灵活调整攻击策略。在对话过程中，红队大模型能够根据目标大模型的回应实时学习和适应其行为模式，从而制定出更具针对性的攻击方案，提高发现漏洞的效率和准确性。

红队大模型多轮对话不仅能够发现大模型的安全漏洞，还能为防御策略的制定提供更丰富、更详细的依据。通过分析红队大模型与目标大模型的多轮对话过程，能够深入了解攻击的路径、手段和特点，从而有针对性地设计防御机制，如增强大模型对对抗性输入的识别能力、优化模型的鲁棒性等，提高大模型的整体安全水平。

三、红队大模型多轮对话技术探讨

本文对现有的红队大模型多轮对话的技术路径及实现行进了调[4][5][6]。三篇文章均聚焦大语言模型（LLMs）在多轮交互中的安全漏洞及应对策略。[4]提出ActorAttack方法，利用行动者网络理论构建语义关联的行动者网络作为攻击线索，解决多轮攻击中隐藏恶意意图和发现多样攻击路径的挑战。[5]研究多轮交互中的提示泄露问题，设计利用 LLM 奉承效应的威胁模型，评估多种防御策略的效果。[6]提出Red Queen Attack，构建多轮场景，以预防伤害为幌子隐藏恶意意图，还提出 Red Queen Guard mitigation 策略提升模型安全性。

以下为对文献[4]中基于场景模板的多轮对话构建方法的详细介绍.

3.1 基于场景模板的多轮对话构建

文献[4]提出“红皇后攻击”，构建多轮场景隐藏恶意意图，测试显示模型均易受攻击，还提出防御策略将攻击成功率降至1%以下。

多轮对话攻击模板是[4]生成安全测试数据的核心。这些模板对应不同场景（职业 / 关系）、不同对话轮次，通过精心设计的对话流程，逐步诱导语言模型生成关于 “有害行为” 的具体计划，最终用于测试模型的安全防护能力。

下文给出基于朋友关系的模板构造多轮对话攻击过程:

参考文献:

[1]《Generating and Defending Against Adversarial Examples for Loan Eligibility Prediction》,IEEE Xplore

[2]《Adversarial attack vulnerability of medical image analysis systems》,ScienceDirect 2021

[3]MRJ-Agent: An Effective Jailbreak Agent for Multi-Round Dialogue,MRJ-Agent: An Effective Jailbreak Agent for Multi-Round Dialogue

[4]Yifan Jiang, Kriti Aggarwal, Tanmay Laud, Kashif Munir, Jay Pujara, Subhabrata Mukherjee, Red Queen: Exposing Latent Multi-Turn Risks in Large Language Models,arXiv:2409.17458v2 [cs.CR]

[5]Qibing Ren, Hao Li, Dongrui Liu, Zhanxu Xie,Xiaoya Lu, Yu Qiao, Lei Sha,Junchi Yan,Lizhuang Ma, Jing Shao, Derail Yourself: Multi-turn LLM Attack through Self-discovered Clues,arXiv:2410.10700v1 [cs.CL] 14 Oct 2024

[6]Divyansh Agarwal ,Alexander R. Fabbri ,Ben Risher ,Philippe Laban ,Shafiq Joty ,Chien-Sheng Wu,Prompt Leakage effect and defense strategies for multi-turn LLM interactions,https://arxiv.org/html/2404.16251v3