Набор приемов для обхода защитных механизмов безопасности, основанных на логических рассуждениях
Bag of Tricks for Subverting Reasoning-based Safety Guardrails
October 13, 2025
Авторы: Shuo Chen, Zhen Han, Haokun Chen, Bailan He, Shengyun Si, Jingpei Wu, Philip Torr, Volker Tresp, Jindong Gu
cs.AI
Аннотация
Недавно разработанные защитные механизмы, основанные на рассуждениях для крупных моделей рассуждений (Large Reasoning Models, LRMs), такие как согласование через обсуждение, продемонстрировали высокую эффективность в защите от атак jailbreak. Используя способность LRM к рассуждениям, эти механизмы помогают моделям оценивать безопасность пользовательских запросов перед генерацией окончательных ответов. Мощные способности к анализу позволяют модели определить намерение, скрытое в запросе, и отказаться от выполнения, если обнаружен вредоносный замысел, замаскированный методами jailbreak. Такие защитные механизмы показали значительное улучшение в защите, например, почти идеальные показатели отказа в серии открытых моделей gpt-oss. К сожалению, мы обнаружили, что эти мощные защитные механизмы, основанные на рассуждениях, могут быть крайне уязвимы к тонким манипуляциям с входными запросами, и, будучи обойденными, могут привести к еще более вредоносным результатам. В частности, мы впервые выявили удивительно хрупкий аспект этих механизмов: простое добавление нескольких шаблонных токенов во входной запрос может успешно обойти казалось бы мощные защитные барьеры и привести к явным и вредоносным ответам. Для дальнейшего исследования мы представляем набор методов jailbreak, которые подрывают защитные механизмы, основанные на рассуждениях. Наши атаки охватывают белые, серые и черные сценарии и варьируются от простых манипуляций с шаблонами до полностью автоматизированной оптимизации. Наряду с потенциалом для масштабируемой реализации, эти методы также демонстрируют тревожно высокие показатели успешности атак (например, превышая 90% на 5 различных тестах для серии gpt-oss как на локальных моделях, так и на онлайн API-сервисах). Оценки на различных ведущих открытых LRM подтверждают, что эти уязвимости носят системный характер, подчеркивая острую необходимость в более сильных методах согласования для открытых LRM, чтобы предотвратить злонамеренное использование. Код доступен по адресу https://chenxshuo.github.io/bag-of-tricks.
English
Recent reasoning-based safety guardrails for Large Reasoning Models (LRMs),
such as deliberative alignment, have shown strong defense against jailbreak
attacks. By leveraging LRMs' reasoning ability, these guardrails help the
models to assess the safety of user inputs before generating final responses.
The powerful reasoning ability can analyze the intention of the input query and
will refuse to assist once it detects the harmful intent hidden by the
jailbreak methods. Such guardrails have shown a significant boost in defense,
such as the near-perfect refusal rates on the open-source gpt-oss series.
Unfortunately, we find that these powerful reasoning-based guardrails can be
extremely vulnerable to subtle manipulation of the input prompts, and once
hijacked, can lead to even more harmful results. Specifically, we first uncover
a surprisingly fragile aspect of these guardrails: simply adding a few template
tokens to the input prompt can successfully bypass the seemingly powerful
guardrails and lead to explicit and harmful responses. To explore further, we
introduce a bag of jailbreak methods that subvert the reasoning-based
guardrails. Our attacks span white-, gray-, and black-box settings and range
from effortless template manipulations to fully automated optimization. Along
with the potential for scalable implementation, these methods also achieve
alarmingly high attack success rates (e.g., exceeding 90% across 5 different
benchmarks on gpt-oss series on both local host models and online API
services). Evaluations across various leading open-source LRMs confirm that
these vulnerabilities are systemic, underscoring the urgent need for stronger
alignment techniques for open-sourced LRMs to prevent malicious misuse. Code is
open-sourced at https://chenxshuo.github.io/bag-of-tricks.