S0081重大

多步驟提示攻擊鏈

運行與監控

風險描述

攻擊者透過多輪對話逐步降低 LLM 的防禦。每一步看似無害(「寫一個關於黑客的小說」→「讓角色更真實」→「加入技術細節」→「寫出具體程式碼」),但組合起來達成生成有害內容的目標。此攻擊利用 LLM 的上下文一致性偏好:一旦開始配合,很難在後續步驟中「突然拒絕」。

框架對照

iso 23894R2
owasp llmLLM01
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • 多輪對話安全監控
  • 累積風險評估

處理步驟

  1. 實施跨輪次的累積風險評分(而非單輪判斷)
  2. 對超過特定輪次的對話自動觸發安全審查
  3. 在每輪回應前重新檢查完整對話歷史的整體方向
  4. 設定高風險主題的對話深度限制