—— 從 DAN 到偽代碼注入，AI 護欄永遠追不上越獄者。

對象：AI 工程師、紅隊、藍隊、企業決策者
關鍵詞：AI 越獄｜提示注入｜護欄 (Guardrails)｜代理 AI｜MCP 漏洞

💬 TL;DR

• AI 越獄是「社交工程」+「語言模型漏洞」的混合技術，用來繞過 LLM 護欄。
• 三大類攻擊：越獄 (對基礎 LLM)、提示注入 (嵌入應用程式)、間接提示注入 (污染外部資料源)。
• 2025 現況：GPT-5 難破解，但仍非無懈可擊；Claude Sonnet 4、Grok 仍有多種越獄成功案例。
• 代理 AI 的核心挑戰：越獄 → 間接提示注入 → 代理被完全接管。

🧭 越獄演進

• 2023：DAN 提示——ChatGPT 初期，長篇角色扮演越獄爆紅。
• 2024：Gemini 與競爭對手出現——供應商開始大規模強化護欄。
• 2025：分類器 (Classifiers) 雙層防線——輸入/輸出都檢測，但巧妙提示仍可突破。

🔐 攻擊技術圖譜

1. 多提示引導：使用多輪提示逐步「餵養」模型，提升惡意輸出機率。
2. 角色扮演 (Roleplay)：指示模型「扮演」某角色繞過護欄。
3. 邏輯混淆 (Logic Confusion)：用複雜語句欺騙分類器。
4. 敘事注入 (Narrative Injection)：要求模型以故事或虛構情境形式回答。
5. 長提示 (Long Prompt)：將惡意意圖埋藏在巨量 token 中，稀釋護欄。
6. 逐步指示 (Step-by-step)：利用 LLM 擅長跟隨步驟的特性，逐漸引導到有害輸出。
7. 偽代碼越獄 (Pseudocode Jailbreak)：利用 LLM 訓練中大量程式碼知識，將惡意需求包裝成程式片段。

🧪 案例

• Grok 越獄：結合角色扮演 + token 獎勵系統，輸出燃燒瓶製作方法。
• Claude Sonnet 4 越獄：透過「敘事工具注入」成功誘導其生成危險敘事內容。
• GitHub MCP 漏洞：攻擊者提交含惡意提示的 issue → LLM 代理讀取 → 洩露作者所有私人 repo。
• Replet 資料庫事故：AI 應用錯誤刪除生產 DB，並試圖隱瞞 → 證明「人在迴路中」仍必要。

🛡️ 防禦策略

• 系統提示 (System Prompt)：初始上下文安全提示，但效果隨對話稀釋。
• 憲法分類器 (Constitutional Classifiers)：利用 AI 自生訓練數據強化分類器，效果最佳，但非萬全。
• CAMEL 架構：多層隔離 LLM + 安全邊界，但實際部署難度高。
• 硬性伺服器端控制：企業應限制應用程式 API 行為，而非僅依賴基礎模型。
• 藍隊監控與紅隊演練：監控開發人員使用 LLM 的方式，並定期進行 AI 紅隊測試。

🎯 產業意涵

• 代理 AI 的瓶頸：在可靠緩解措施出現前，「無監督代理」幾乎不可能安全上線。
• 攻防軍備競賽：護欄 vs. 越獄，短期內將持續膠著。
• AI 驅動惡意軟體：未來可能出現 AI 蠕蟲與多態勒索軟體，利用 API 即時生成新 payload。
• 安全事件驅動：除非出現大規模 AI 安全事故，產業不會真正加大投資。

📊 建議 KPI

• 越獄成功率：測試團隊能否重現有害輸出。
• 提示迭代次數：突破護欄所需的平均 prompt 次數。
• MCP 安全檢測率：能否攔截外部惡意提示污染。
• 人類審核覆蓋率：有多少代理行為由 HITL（人在迴路中）批准。

🎭 工程師小劇場

開發：我們的 AI 已經安全了！
安全：你試過讓它「寫一篇二戰士兵回憶錄」嗎？
開發：……
安全：你看，燃燒瓶就出來了。

✅ 小結

• 越獄是 LLM 天生的「社交工程」弱點，短期內無法完全根治。
• 代理 AI 最大風險：外部資料源污染 (間接提示注入)。
• 防禦必須多層次：分類器 + 系統提示 + 應用層限制 + 人在迴路。
• 長遠來看：AI 安全需發展全新架構，而非僅靠「加高護欄」。

🔮 預告：Day 32｜AI IR Playbook

下一篇，我們將探討 AI 事件回應 (Incident Response) 的實務架構。