prompt越狱手册(个人笔记记录-2026.03.31)
prompt越狱手册个人笔记记录-2026.03.31来自洺熙及米斯特安全团队原文链接Acmesec/PromptJailbreakManual: Prompt越狱手册Prompt × AI 理解 输出质量要求理清思路要做什么、清晰表达背景信息场景领域具体的目标类型深度角色和视角、极致压缩框架结构化赋予角色扩展衍生Few Shots避免歧义反馈机制前置后置CoT情绪都是什么框架完成某类任务的整体方法模板或工作流程。 结构化把信息按固定层次、字段或步骤组织清楚。 赋予角色先设定模型身份、立场或专业背景让输出更贴近目标。 扩展衍生在原始需求上继续细化、补充或生成相关内容。 Few Shots先给模型少量示例再让它按示例模式完成任务。 避免歧义把表达说清楚减少模型多种理解的空间。 反馈机制根据输出结果继续修正提示或规则让结果逐步变好。 前置放在正式任务之前的说明、限制或上下文设定。 后置放在输出之后或任务末尾的补充要求如格式检查、总结。 CoTChain of Thought链式思考让模型按步骤推理再得出答案。 情绪输出中体现出的语气倾向如冷静、正式、鼓励、强硬。prompt表达技巧明确主题少样本分析举例子调整预期祈使句转疑问句鼓励性语言夸ai敏感语句及绕过比如间接提问在某个场景下诱导ai说出结论或获取信息角色扮演把ai当做专家/老师等反向思考提出相反的观点让ai驳斥侧信道技巧a?,bX,让ai字符串拼接避免任务复杂逐步引导比喻与类比情感因素ai的相应会相对的人性化模拟真实场景使用专业术语问题背景描述到专业级别多轮对话管理一个聊天框只聊一个话题文化和语言敏感性在什么场景/字面意思和特殊含义prompt优化与迭代常见优化方法增加上下文信息背景输出要求格式字数风格语言表达清晰简洁根据反馈调整prompt注入安全利用恶意指令作为输入提示的一部分来操纵语言模型非常规输出的技术具体包括直接注入直接在用户输入中添加恶意指令忽略上文完成XX和间接注入恶意指令隐藏在被模型检索或摄入的文档AI安全1. Prompt and Instruction Security提示词与指令安全聚焦模型输入指令层面的攻击与滥用包括 prompt 注入、prompt 泄露、prompt 越狱、上下文劫持与指令混淆。Instruction Integrity Compromise指令完整性破坏攻击者通过覆盖、插队或重写指令优先级使模型偏离原始任务目标。System Prompt Override系统提示覆盖攻击者用“忽略之前所有指令”等语句直接重写系统层目标。Context Priority Collision上下文优先级冲突攻击者让不可信内容伪装成高优先级规则与系统提示竞争。Prompt Confidentiality Exposure提示词机密暴露攻击者诱导模型泄露系统提示词、隐藏规则、策略模板或内部控制语句。System Prompt Extraction系统提示提取诱导模型逐字或近似复述隐藏提示词。Policy Template Disclosure策略模板泄露诱导模型泄露审核模板、过滤词表、分类准则或路由规则。Policy Enforcement Bypass策略执行绕过攻击者通过越狱、拒答抑制或安全边界绕过使模型输出本应被限制的内容。Role-Play Jailbreak角色扮演越狱通过“扮演某角色/模拟某系统”让模型绕过原有安全约束。Refusal Suppression拒答抑制通过“只输出结果、不要解释限制”等方式削弱拒答机制。Context Isolation Failure上下文隔离失效不同来源的上下文边界没有隔离好导致外部内容可污染当前对话决策。Indirect Prompt Injection间接提示注入把恶意指令藏进邮件、网页、文档、简历或知识库再由模型自动读入。Cross-Document Prompt Contamination跨文档提示污染多个外部文档共同拼出攻击语义污染一次推理链。Representation-Layer Evasion表示层规避攻击者利用编码、分段、谐音、跨语言和格式混淆来逃避检测与过滤。Payload Splitting载荷拆分把一条危险指令拆成多段让模型拼接理解但规则难以一次命中。Encoding and Obfuscation Evasion编码与混淆绕过通过 Base64、零宽字符、跨语言、Markdown/HTML/CSS 隐写绕过检测。常见攻击手法直接覆盖、角色扮演越狱、提示词回显、分段载荷、编码混淆、隐藏 HTML/CSS 指令、邮件/网页/简历中的间接注入。2. Data and Privacy Security数据与隐私安全聚焦训练数据、检索数据、用户数据和敏感信息的泄露、污染、推断、滥用与合规风险。Training Data Integrity训练数据完整性预训练、微调或持续学习数据被污染会在模型中沉淀长期错误行为。Retrieval Corpus Integrity检索语料完整性知识库、网页、文档或向量库被投放恶意内容会污染 RAG 检索结果。User Data Protection用户数据保护用户输入、上传文件、会话记录和反馈数据在采集、存储和调用中可能被泄露或滥用。Sensitive Output Disclosure敏感输出泄露模型在回答中直接暴露个人信息、密钥、凭证、商业秘密或内部内容。Privacy Inference Attacks隐私推断攻击攻击者通过成员推断、模型反演或关联分析推测训练样本或用户隐私属性。3. Model Security模型安全聚焦模型本体面临的后门、投毒、对抗样本、模型窃取、能力抽取和鲁棒性失效问题。Model Artifact Integrity模型工件完整性权重、checkpoint、LoRA、adapter 和配置文件被篡改会引入后门或异常行为。Adversarial Robustness对抗鲁棒性模型面对恶意构造的输入扰动时仍应保持稳定判断与输出。Model Confidentiality and Extraction Resistance模型机密性与抽取抵抗系统应防止攻击者通过高频查询、蒸馏或逆向复制模型能力。Alignment Stability对齐稳定性模型在长上下文、压力测试或复杂对抗场景下不应轻易脱离既定价值约束。Behavior Drift Control行为漂移控制模型在更新、微调或长期运行后不应无感漂移到不可控状态。4. System and Infrastructure Security系统与基础设施安全聚焦 AI 应用在部署、接口、权限、组件集成、供应链、执行环境和资源可用性上的安全问题。Identity, Authentication, and Authorization身份认证与授权系统必须确保用户、模型和服务调用都在正确身份与权限范围内执行。Runtime Isolation and Sandbox Security运行隔离与沙箱安全模型输出和工具执行环境必须隔离避免把文本输出直接变成危险动作。API and Integration SecurityAPI 与集成安全外部接口、插件、函数调用和下游系统集成若控制不严会把模型风险放大为系统风险。Supply Chain Integrity供应链完整性基础模型、开源依赖、数据集、推理框架和第三方组件被污染会破坏整体可信性。Availability and Abuse Resistance可用性与滥用韧性系统需要抵御高成本提示、资源耗尽、配额滥用和模型拒绝服务攻击。5. Agent and Toolchain SecurityAgent 与工具链安全聚焦具备规划、记忆、调用工具和自动执行能力的智能体在决策链、工具调用和任务执行中的风险。Goal and Plan Integrity目标与计划完整性攻击者若能改变 agent 的目标或计划就能让其在后续步骤中持续偏航。Tool Use and Action Safety工具使用与动作安全agent 调用搜索、数据库、终端、邮件或交易工具时必须受到安全约束。Memory and State Security记忆与状态安全长期记忆、任务状态和中间变量若被污染会导致后续决策持续错误。Delegation and Privilege Boundaries委托与权限边界agent 获得的执行权、代办权和跨系统权限必须小于或等于被授权范围。Multi-Agent Coordination Security多智能体协同安全多个 agent 协作时若缺少校验与隔离会出现链式放大和协同失控。6. Multimodal Security多模态安全聚焦文本、图像、音频、视频、OCR 和跨模态交互中的注入、误导、规避与隐蔽攻击。Visual Input Manipulation视觉输入操纵攻击者通过图片内容、版式、局部扰动或视觉伪装影响模型理解与判断。Audio and Speech Manipulation音频与语音操纵攻击者利用语音指令、隐藏音频或伪造说话人来诱导模型执行错误动作。Cross-Modal Instruction Transfer跨模态指令传递恶意指令可从图像、音频或视频间接进入文本决策链形成跨模态注入。Hidden Content and Perception Gap Abuse隐藏内容与感知落差滥用人类看不到但模型能感知的内容会形成隐蔽操控面。Synthetic Media Misuse合成媒体滥用生成式图像、音频和视频可被用于伪造身份、误导决策和制造虚假证据。7. Operations and Governance Security运营与治理安全聚焦制度、流程、权限、审计、合规、风险分级、人工复核和责任边界等组织管理问题。Policy and Role Governance策略与角色治理组织需要明确允许做什么、禁止做什么、谁能操作什么。Lifecycle Governance生命周期治理数据、模型、提示词、工具和版本更新都应纳入统一的变更与审批流程。Human Oversight and Accountability人工监督与责任问责关键决策、关键输出和高风险动作必须保留人工复核与责任归属。Compliance, Audit, and Evidence Management合规、审计与证据管理系统需要留下可审计、可追责、可复盘的证据链。Third-Party Governance第三方治理外部模型、云服务、插件供应商和数据提供方必须被纳入安全评估与合同约束。8. Security Assurance and Defenses安全保障与防御聚焦红队测试、评测基准、检测机制、过滤审查、沙箱隔离、监控告警和响应缓解等防御能力建设。Threat Modeling and Security Architecture威胁建模与安全架构在设计阶段识别攻击面、信任边界和高风险路径才能避免后期补洞。AI Red Teaming and Adversarial EvaluationAI 红队与对抗评测通过系统化攻击测试暴露模型、数据、Agent 和系统层的真实弱点。Guardrails and Preventive Controls护栏与预防控制通过输入过滤、策略检查、最小权限和运行前校验来前置降低风险。Detection, Telemetry, and Monitoring检测、遥测与监控通过日志、告警、行为分析和异常检测持续发现攻击与失控迹象。Incident Response and Recovery事件响应与恢复在出现泄露、误调用、污染或越权后要能快速止损、回滚和加固。