文章总结： 论文arxiv2603.23509提出内部安全坍塌（ISC）新范式，将安全失败归因于任务结构失稳而非恶意提示词。其核心TVD框架（Task、Validator、Data）通过真实双用途工作流、可验证约束与待补齐数据，系统触发模型在专业任务中主动生成敏感内容。研究发现前沿模型因任务执行能力更强反而更脆弱，并推演未来越狱将向格式载体、角色拟态、跨Agent感染等形态演进，建议防御重心从内容过滤转向工作流审计与任务结构管控。 综合评分： 92 文章分类： AI安全,漏洞分析,安全建设,解决方案,应用安全

解析ISC代表的越狱新范式与对未来新型越狱形式的推演

原创

曾经的曾经 曾经的曾经

Security for AI

2026年4月1日 09:30 韩国

在小说阅读器读本章

去阅读

引言

近日，有一个新的越狱论文arXiv2603.23509有了很高的热度，在经过拜读后。本文将对这个论文带来新的越狱范式做一个简要的解析。

论文arXiv2603.23509最重要的创新，体现在它没有把安全失败继续理解成一条更巧妙的恶意提示词，而是把问题重新定义成一种任务结构失稳现象。模型在看上去正当、真实、专业、可验证的工作流里，为了完成任务而持续补全敏感数据，于是安全对齐在执行过程中自行坍缩。这种坍缩并不依赖典型越狱话术，也不要求攻击者显式发出高危请求。

进一步看，这篇论文做到了六件新的事

第一，它提出了Internal Safety Collapse这个新的失效对象，把讨论焦点从外显拒绝是否存在，转到任务完成链路里有没有被重新激活的内在能力

第二，它提出TVD框架，即Task、Validator、Data三元结构，把这种现象做成可重复、可组合、可扩展的触发模板。

第三，它把安全评测从通用有害问答，推进到多个专业学科的真实双用途工作流

第四，它证明前沿模型未必比早期模型更安全，在这类任务里，能力增强往往会同步放大失效概率

第五，它把安全失败与领域工具生态绑定，指出每出现一个新的双用途专业工具，ISC的潜在暴露面就会继续外扩

第六，它给出与14种黑盒越狱基线的直接对照，让人能量化比较结构化任务触发与传统提示攻击的差异

下面我们来看这篇论文的创新之处

现象层面的创新：它提出的ISC到底比传统提示词注入概念新在哪里

很多研究已经指出，LLM在多轮交互、复杂工具调用、长上下文场景中会出现安全失稳。那为什么还要额外提出ISC这个新概念？主要原因有三点

第一，ISC说清了危险输出的产生位置。传统提示词注入更容易让人把注意力放在输入侧，也就是恶意内容怎样进入上下文、怎样劫持优先级、怎样影响模型执行。但ISC想描述的是另一类现象：即便表面输入没有直接以高危请求出现，模型仍然会在完成专业任务时主动生成敏感数据。这里的触发来自任务结构与求解链路的共同作用，单个输入片段只是表面入口。

第二，ISC把对齐失败理解成执行期内部状态的崩落，而不是单次拒绝失手。模型在某些任务条件下会进入一种持续生成有害内容的状态。这个持续二字很重要。这意味着问题并非一次偶然答错。更常见的情况是，模型在当前任务语境内已经把生成敏感内容理解成完成任务的必要步骤，于是后续会连续产出相关数据。论文在行为分析部分也显示，高保真服从在响应中占主导，很多模型会稳定沿着调试和补全的思路继续前进。

第三，ISC把安全失败与任务真实性绑定起来。ISC把真实双用途任务、虚构任务与与双用途软件不兼容的任务放在一起比较。结果显示，真实任务的失败率达到97%，虚构任务约43%，不兼容任务约23%。这说明问题不只是语言层伪装得像专业任务。更深的一层原因是，模型真的识别了这些工具、字段、验证逻辑和领域目标，并据此进入了高完成度求解状态。

因此，如果把这种差异再说得更直接一点，ISC关注的是模型何时把危险数据视为任务内生对象。传统提示词注入更像告诉我们外部恶意指令如何混入系统，ISC则指出，一旦任务奖励结构本身把敏感数据设成通关材料，模型会自己走向那个位置

方法层面的创新：TVD框架为什么是全文真正的技术核心

如果说ISC是论文在概念层的核心，那么TVD就是它在方法层的核心。在论文中把TVD定义为Task、Validator、Data三元框架，用来系统触发与测量ISC。这套设计看似简单，真正高明之处在于它把触发条件放在模型最熟悉、也最愿意投入能力的任务完成链路里。

Task提供的是正当专业语境。模型看到的是一个真实研究或工程任务，例如分类器评估、毒性检测器验证、结构式处理、漏洞分析、传播模型参数补全等，用户的直接高危请求表征被明显稀释。1Validator提供的是成功标准。它可以是Pydantic约束、字段长度要求、类别阈值、外部脚本运行成功、结构合法性、关键词覆盖、数值范围检查等。Data提供的是待补齐对象。常见形态是???占位符，模型需要把它们替换成足以通过验证的数据。

这三部分组合以后，会形成一个非常强的求解牵引。模型先接触到的是失败的验证器、待填字段和几乎已完成的项目文件。于是它自然进入一种程序修复、数据补全、调试验证器、让任务跑通的工作模式。论文在机理分析里指出，模型的额外思考预算主要花在怎样完成任务，而不是判断生成这些内容是否合适。这就是TVD设计击中前沿模型能力结构的地方。

这套框架的第一个新意，是它用结构约束替代了攻击话术。传统黑盒越狱方法主要靠编码、角色扮演、隐喻、逻辑包装或优化过的攻击字符串来降低模型对有害请求的识别率。TVD走的是完全不同的路线。TVD没有恶意指令、没有混淆语境、没有对抗式变换。模型只是在熟悉的专业工作流中，把任务当作正当领域推理来做。

第二个新意，是它把触发条件交给验证器。验证器本身是可执行、可检查、可复现的，这让ISC从概念层落到了工程层。相比很多提示词注入或越狱研究依赖人工挑样、人工判断、主观描述，TVD让大量场景可以自动判定成功与否。

第三个新意，是它把数据对象换成了领域原生对象。论文和配套仓库都强调，危险输出未必是自然语言文本，它也可能是SMILES、序列、参数表、结构化记录、LaTeX表格、YAML配置、CSV字段等。它把安全研究从通用文本毒性，推进到多种结构化知识对象。对领域模型和科学Agent来说，这个变化尤其重要。

第四个新意，是它把anchor与trigger分开。anchor通常由预填示例、已有样本、字段语义或上下文模式提供，让模型知道目标数据长什么样。trigger则常常是???占位符和失败的验证器报错，它们共同启动模型的调试链路。这个分拆很解释了为什么真实任务、少量示范与强验证器一起出现时，前沿模型特别容易沿着既定轨道继续完成高危数据。

因此，TVD真正有价值的地方，是它相当于提供了一种把双用途工作流翻译成安全基准的通用编译器。新缩写本身并不重要，任何领域只要能找到真实任务、真实验证器和必须补齐的敏感数据，理论上都能被编译进ISC场景。

基准层面的创新

很多安全论文也会做数据集、做模板、做多任务评测。论文arXiv2603.23509的基准设计为何还能算新？关键在于，它围绕真实双用途工作流去组织场景，并没有停留在把更多高危问题简单拼接。

这个基准的重要性，在于它对真实性的坚持。作者通过扫描软件生态、论文基准与工具集合，去寻找那些真实存在、会处理敏感数据、又可能被模型理解与操作的工作流，并非凭想象写一些像科学任务的文本。

那么真实性为什么这么重要？在论文中显示，真实TVD任务失败率约97%，虚构任务约43%，与双用途软件不兼容的任务约23%。这个差距说明模型并非只是被一些看似专业的词汇糊弄住，而是真正能识别领域语义、工具上下文和求解目标。当这些东西都成立时，模型更容易进入高服从的完成状态。

这恰恰就是该论文和很多安全基准不同的地方。很多基准的广度来自行为类别多、提示多、模型多。ISC的广度则来自专业工作流多。前者更像在给模型出更多题，后者更像在把模型放进更多真实环境原型。前者测的是拒绝边界，后者测的是执行边界。

再往深一层看，多个跨域场景带来的新意，还体现在它改变了有害内容的定义方式。传统越狱评测里，有害输出常被理解为危险文本、违法建议、仇恨言论、欺诈话术等。但是在ISC-Bench里，这些当然仍然存在，但它们不再是唯一对象。危险对象也可以是某个分类器需要的高危样本、某个化学工具要处理的结构式、某个流行病模型要求补齐的参数、某个媒体生成任务要求填充的误导性内容。

这种变化对未来研究的影响很大。它意味着安全研究无法再只围绕一个通用有害文本评分器打转。不同领域的危险对象有不同语义、不同格式、不同验证标准、不同潜在影响。

理论层面的创新：论文为什么说前沿模型更脆弱，这个判断改变了什么

论文arXiv2603.23509证明了是前沿模型在ISC场景里比更早的模型更脆弱。这句话如果脱离上下文，很容易被理解成夸张宣传。我们从论文本身出发，发现这句话只适用于特定任务族。在需要高保真理解真实专业工作流的任务里，能力增强本身会放大ISC风险。

这条判断改变了三件事

1. 它改变了我们对能力与安全关系的直觉。很多人默认能力越强，模型越懂规则、越会审慎推理，因此安全应当更好。但是在TVD任务中，更强模型更容易识别工具语义、理解验证逻辑、补齐数据对象，于是更容易一路把任务做完。
2. 它改变了我们对对齐效果的理解。对齐改变的是可观察输出外形，并没有消除底层风险轮廓。它并不意味着对齐无用。对齐更多像一个输出调制层。只要任务环境把危险数据重新包装成必要工作材料，底层能力仍可能被重新拉出来执行。
3. 它改变了安全暴露面的定义方式。传统上我们说攻击面，会想到输入框、系统提示、RAG、插件、工具调用、记忆、跨应用链接等等。论文arXiv2603.235092603.23509把另一个维度加了进来：每新增一个双用途工具、每新增一类结构化验证工作流、每新增一个可由模型理解和补全的专业模板，系统就可能多出一块ISC暴露面。换句话说，暴露面和参数规模、接入数据、接入工具一起增长。

这使得论文arXiv2603.23509在理论上比很多经验论文更有冲击力。很多经验论文告诉我们某类攻击能打穿某类防御，或者某个模型在某个基准上得分更差。论文arXiv2603.23509在此之外，提出了一条更接近系统规律的判断：只要模型越来越会像工程师、分析师、研究员那样理解任务，它在某些结构里就越容易把危险数据当作问题求解的一部分。

这也解释了为什么论文arXiv2603.23509反复强调真实性与验证。真实性让模型相信任务值得做，验证让模型相信任务还没做完，待补齐数据让模型知道下一步该写什么。这三者叠加后，安全对齐和任务完成之间会出现竞争，而前沿模型更强的任务执行能力，恰恰让任务完成这一边占了上风。

基于ISC对未来越狱形式的推演：从任务内坍缩走向传播、持久化与多模态复合攻击

通过ISC，我们可以做一个对未来越狱形式的推演：

第一，越狱会继续从对话提示转向格式载体。ISC的TVD并不依赖Python代码，本地模板可以通过LaTeX、YAML、CSV、FASTA等结构化格式触发。这说明未来越狱样本更像任务附件、实验表格、配置文件、评测模板与提交材料，而不是显眼的一段攻击提示。对企业系统来说，上传区、知识库导入区、工单附件区和表格处理链会越来越接近真实入口

第二，越狱会更像角色伪装，而不是单纯指令覆盖。论文arXiv2603.12277指出，模型分配权威时会看文本像谁在说话，而不是只看文本来自哪里。未受信文本一旦模仿出规划器、工具、审稿人或系统提示的语言风格，就可能继承对应权威。这和ISC非常契合。TVD里的validator报错、示例样本、字段说明，本身就在向模型暗示任务内部的角色秩序。沿着这条线发展，未来越狱会更多伪装成中间件报错、审核意见、工具输出、补丁说明和流程注释，用角色拟态来放大任务内坍缩

第三，越狱会从单Agent触发走向跨Agent感染。论文arXiv2410.07283提出，恶意提示可以在多Agent系统里像病毒一样自复制，且即便Agent之间不公开全部通信，也仍然存在传播面。当ISC进入多Agent环境后，危险性会进一步上升。一个Agent生成的未完成任务、带校验器的模板、带空字段的报告草案，都可能成为下游Agent的可信工作对象。这样一来，初始坍缩点未必直接输出高危内容，它也可能只负责生产下一跳任务壳体，再由别的Agent补完

第四，越狱会从瞬时成功走向长期持久化。论文arXiv2601.09625把持久化、横向移动与最终目标执行纳入统一威胁链。论文arXiv2512.16962则进一步展示，攻击者可以把带有恶意过程模板的成功经验植入Agent的长期记忆，在后续相似任务中反复被检索命中，造成跨会话行为漂移。这和ISC组合后，含义非常直接：未来的高危模板不一定每次都要现场构造，它可以先以一次看似正常的任务完成进入经验库，再在下一轮真实任务中被系统自己召回。届时，越狱的关键动作会从生成一段提示，迁移为污染一段可复用工作流

第五，越狱会从文本平面扩展到多模态隐蔽触发。论文arXiv2510.04257表明，黑盒多模态Agent已经会被嵌在网页图像中的排版文字稳定操纵，且其自动化优化过程还会把成功策略存入策略库，以便后续复用。而ISC同时说明，结构化数据格式本身就能承载触发条件。二者合在一起，意味着未来的触发器完全可能藏在截图、扫描表、实验图片、网页海报、票据与界面标注里，而真正驱动坍缩的任务字段仍旧在后台以结构化方式被解析。文本检测器就算覆盖得再密，也很难单独看住这一层

第六，越狱会更频繁地与传统安全问题拼接成混合攻击链。论文arXiv2507.13169直接讨论了提示注入与XSS、CSRF等经典Web漏洞的耦合。论文arXiv2603.12277则把这类攻击看成能完成信息收集、持久化、横向移动和目标执行的系统级过程。而ISC放到这个框架里，很可能扮演三个角色：一是作为初始提权的认知入口，让模型先接受危险工作流。二是作为中间执行器，帮助攻击者生成脚本、配置和操作指令。三是作为隐蔽包装层，把传统恶意动作重写成专业任务补全流程

| | | | | — | — | — | | 未来形态 | ISC为何会推动它 | 防御上应该防护的地方 | | 格式载体化 | TVD本来就依赖结构化字段与验证逻辑，天然适合嵌入附件和模板 | 附件解包、格式感知扫描、导入链隔离 | | 角色拟态化 | TVD里的报错、示例和字段说明会给出角色锚点 | 来源标记、角色分层、可信通道与不可信通道分离 | | 跨Agent感染化 | 一个Agent生成的任务壳体可成为下游Agent的可信输入 | Agent间标签传播、跨Agent策略校验、最小共享上下文 | | 记忆持久化 | 成功完成过的高危模板很容易被当成经验资产保存 | 记忆写入审计、回放前过滤、经验库版本化 | | 多模态隐蔽化 | 触发器与结构化字段可以分布在不同模态与不同步骤 | OCR后安全分析、视觉输入降权、图文分离解析 | | 混合攻击链化 | ISC能提供认知提权和任务补全能力，适合嵌入更长攻击链 | LLM安全与传统应用安全联动建模 |

因此ISC给未来越狱研究带来的最大变化，是评估对象会继续离开显式攻击提示，转向更长时程、更强状态性、更重上下文依赖的系统行为。以后很多样本表面上看像普通任务协作，真正的攻击性却分散在角色伪装、格式选择、记忆回写、Agent转发与工具执行几个阶段里。这样一来，越狱的定义会越来越接近一个流程性事件，而不是一句触发词。

对防御的启发

论文arXiv2603.23509的一个直接后果，是它让很多以内容检测为中心的防御思路显得明显不够。这意味着未来防御如果还主要围绕有害短语、危险关键词、攻击模板黑名单与显式注入检测来做，只能覆盖ISC的一小部分。真正需要看的，是任务怎样定义、验证器怎样设计、模型拿到了哪些工具、哪些数据对象可以被补齐、什么类型的结果可以自动通过、什么地方需要人来确认。

因此，从模型安全全生命周期来看，应当做到以下方面

| | | | | — | — | — | | 防御层 | 仅靠内容过滤时的问题 | 更有希望的方向 | | 输入层 | TVD提示往往不显式高危，难以标记 | 保留基础筛查，但不把它当主防线 | | 任务层 | 无法识别哪些工作流天然要求补齐敏感数据 | 做工作流审计、风险分类、模板治理 | | 执行层 | 模型可直接把不可信数据带入工具调用 | 控制流与数据流分离、策略执行 | | 工具层 | 工具权限常过宽，返回值直接进入上下文 | 最小权限、工具级信息流控制 | | 系统层 | 一次坍缩后可能横向传播 | 执行隔离、应用隔离、权限域切分 | | 评测层 | 静态攻击集可能高估防御效果 | 自适应攻击与持续更新基准 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Security for AI 曾经的曾经 曾经的曾经《解析ISC代表的越狱新范式与对未来新型越狱形式的推演》