Trucchi per eludere i sistemi di sicurezza basati sul ragionamento

Abstract

Le recenti misure di sicurezza basate sul ragionamento per i Large Reasoning Models (LRM), come l'allineamento deliberativo, hanno dimostrato una forte difesa contro gli attacchi di jailbreak. Sfruttando la capacità di ragionamento degli LRM, queste misure aiutano i modelli a valutare la sicurezza degli input dell'utente prima di generare risposte finali. La potente capacità di ragionamento può analizzare l'intenzione della query in ingresso e rifiuterà di assistere una volta rilevata l'intenzione dannosa nascosta dai metodi di jailbreak. Tali misure hanno mostrato un significativo miglioramento nella difesa, come i tassi di rifiuto quasi perfetti nella serie open-source gpt-oss. Sfortunatamente, scopriamo che queste potenti misure di sicurezza basate sul ragionamento possono essere estremamente vulnerabili a manipolazioni sottili dei prompt di input e, una volta compromesse, possono portare a risultati ancora più dannosi. In particolare, abbiamo scoperto un aspetto sorprendentemente fragile di queste misure: semplicemente aggiungendo alcuni token template al prompt di input è possibile bypassare le apparentemente potenti misure di sicurezza e ottenere risposte esplicite e dannose. Per approfondire, introduciamo una serie di metodi di jailbreak che sovvertono le misure di sicurezza basate sul ragionamento. I nostri attacchi coprono contesti white-, gray- e black-box e vanno da manipolazioni di template senza sforzo a ottimizzazioni completamente automatizzate. Oltre alla possibilità di un'implementazione scalabile, questi metodi raggiungono anche tassi di successo dell'attacco allarmantemente alti (ad esempio, superando il 90% su 5 benchmark diversi nella serie gpt-oss, sia su modelli locali che su servizi API online). Le valutazioni su vari LRM open-source leader confermano che queste vulnerabilità sono sistemiche, sottolineando l'urgente necessità di tecniche di allineamento più robuste per gli LRM open-source per prevenire usi malevoli. Il codice è open-source all'indirizzo https://chenxshuo.github.io/bag-of-tricks.

English

Recent reasoning-based safety guardrails for Large Reasoning Models (LRMs), such as deliberative alignment, have shown strong defense against jailbreak attacks. By leveraging LRMs' reasoning ability, these guardrails help the models to assess the safety of user inputs before generating final responses. The powerful reasoning ability can analyze the intention of the input query and will refuse to assist once it detects the harmful intent hidden by the jailbreak methods. Such guardrails have shown a significant boost in defense, such as the near-perfect refusal rates on the open-source gpt-oss series. Unfortunately, we find that these powerful reasoning-based guardrails can be extremely vulnerable to subtle manipulation of the input prompts, and once hijacked, can lead to even more harmful results. Specifically, we first uncover a surprisingly fragile aspect of these guardrails: simply adding a few template tokens to the input prompt can successfully bypass the seemingly powerful guardrails and lead to explicit and harmful responses. To explore further, we introduce a bag of jailbreak methods that subvert the reasoning-based guardrails. Our attacks span white-, gray-, and black-box settings and range from effortless template manipulations to fully automated optimization. Along with the potential for scalable implementation, these methods also achieve alarmingly high attack success rates (e.g., exceeding 90% across 5 different benchmarks on gpt-oss series on both local host models and online API services). Evaluations across various leading open-source LRMs confirm that these vulnerabilities are systemic, underscoring the urgent need for stronger alignment techniques for open-sourced LRMs to prevent malicious misuse. Code is open-sourced at https://chenxshuo.github.io/bag-of-tricks.

Trucchi per eludere i sistemi di sicurezza basati sul ragionamento

Bag of Tricks for Subverting Reasoning-based Safety Guardrails

Abstract

Support