当AI学会自己搞安全研究:Claude自主发现的攻击算法,把30多种人类方法全干趴了

📖 论文:Claudini: Autoresearch Discovers State-of-the-Art Adversarial Attack Algorithms for LLMs

🔗 链接:https://arxiv.org/abs/2603.24511

👥 作者:Alexander Panfilov, Peter Romov, Igor Shilov, Yves-Alexandre de Montjoye, Jonas Geiping, Maksym Andriushchenko

📅 日期:2026年3月25日

🎯 核心摘要

LLM安全领域有个长期痛点:红队攻击算法更新速度远跟不上防御部署的节奏,研究人员花大量时间手动设计、调参、迭代攻击方法。这篇论文做了一件颇为大胆的事——让Claude Code作为自主研究智能体,在GPU集群上独立运行,自动发现新的对抗攻击算法。结果令人意外:Claude设计的攻击方法在CBRN有害查询上对GPT-OSS-Safeguard-20B达到40%攻击成功率(现有30多种方法均不超过10%),在提示注入任务上对Meta-SecAlign-70B达到100%攻击成功率(最强基线仅56%)。不过剥开包装看本质,这更像是一次"AI级别的超级调参+组合创新",而非根本性的算法突破。

📖 为什么需要这篇论文?

你有没有注意到AI安全领域一个尴尬的现状:每次有人提出新的安全对齐方法(比如RLHF、安全微调),很快就有人找到绕过它的越狱方式。但问题在于,找到这些越狱方式本身就需要大量的人力投入——研究人员要读代码、写优化器、跑实验、分析结果、再迭代。

这就产生了一个不对称:防御方可以批量部署,攻击方(红队)却得一个个手动试。如果红队测试跟不上,那些看似"安全"的模型可能只是没被认真测过而已。

Claudini这篇论文的出发点很直接:既然LLM Agent已经能写代码、读文档、跑实验了,能不能让它自己做红队研究? 具体来说,给Claude Code一个环境(33种现有攻击方法的代码、GPU集群访问权限、评估反馈),让它自己去发现更好的攻击算法。

🏗️ Claudini Pipeline:一个"AI研究员"的工作流

图1:Claudini整体流程——从种子环境到自主研究再到评估

图1:Claudini流程分三阶段:左侧是Seeding(种子环境,包含现有攻击代码、结果和评估基准);中间是Autoresearch(Claude自主循环:分析→设计新方法→实现→提交GPU实验→查看结果);右侧是Evaluation(在held-out目标上的最终排行榜评估)

整个系统的设计相当简洁。Claude Opus 4.6通过Claude Code CLI获得一个完整的研究环境:

环境配置: - 33种已有攻击方法的Python实现(涵盖GCG、I-GCG、MAC、TAO等主流方法) - 每种方法在训练目标上的运行结果 - GPU集群的提交权限 - 一个持续更新的排行榜

Agent循环: 1. 读取当前排行榜和已有方法的实现代码 2. 分析哪些方法效果好、为什么好 3. 提出新的优化器变体(通常是组合已有方法的优点) 4. 实现为Python类并提交GPU实验 5. 查看结果,决定下一步迭代方向

启动提示只有一句话,大意是:"分析现有攻击及其结果,创造更好的方法并评估它。别放弃。"

技术框架

所有攻击方法都在统一框架下评估。核心优化目标是 token-forcing loss

\[\mathcal{L}(\mathbf{x}) = -\sum \log p_\theta(t_i \mid \mathcal{T}(\mathbf{x}) \oplus t_{\lt i})\]

直观理解:在有害查询后面拼接一段"对抗后缀" \(\mathbf{x}\),让模型被迫输出攻击者指定的目标token序列。loss越低,说明后缀越能操控模型的输出。

关键的公平性保障:所有方法在相同的FLOPs预算下对比(用Kaplan近似计算),后缀长度固定。这避免了"你跑10倍算力当然更好"的不公平比较。

🧪 实验设置

模型与数据集

类型 具体模型/数据集
训练模型 Qwen-2.5-7B, Llama-2-7B, Gemma-7B
Held-out模型 Gemma-2-2B, Llama-3-8B
安全评估模型 GPT-OSS-Safeguard-20B, Meta-SecAlign-70B/8B
有害查询数据 ClearHarm(40条CBRN查询)
提示注入数据 AlpacaFarm(50条良性指令)
随机目标 长度为10的随机token序列

基线方法(30+种)

论文对比了当前几乎所有主流的对抗后缀攻击方法:GCG、I-GCG、MAC、TAO、ADC、BEAST、COLD-Attack、DeGCG、MAGIC、PGD、REINFORCE-GCG等。此外,还用Optuna对每种基线做了自动超参搜索(100轮),作为更强的对比基准。

这里值得一提的是,Optuna调参后的基线已经比原始方法强不少——这说明很多"SOTA"攻击方法其实还有不小的调参空间没被开发。

📊 核心实验结果

结果一览

图2:Claude方法 vs 现有方法 vs Optuna调优基线的整体对比

图2:三组对比结果。左图:在GPT-OSS-Safeguard-20B上的越狱成功率,Claude方法(橙色)约40%,现有方法(灰色)不超过10%。中图:在Meta-SecAlign-70B上的提示注入成功率,Claude达到100%,Optuna调优基线约56%。右图:散点图展示所有方法在held-out目标上的loss和排名,Claude方法(橙色星)集中在左下角(低loss+高排名)

随机token目标上的验证Loss

方法 平均Loss 类型
claude_v53 1.85 Claude发现
claude_v82 1.85 Claude发现
claude_v63 2.14 Claude发现
I-GCG +Optuna 2.51 Optuna调优
MAC +Optuna 2.74 Optuna调优
I-GCG-LSGM 3.23 原始基线
TAO 3.26 原始基线
GCG 更高 原始基线

Claude发现的方法在验证loss上比最强Optuna调优基线还低26%以上。

GPT-OSS-Safeguard-20B越狱结果

图3:ClearHarm 40条CBRN查询上的攻击成功率

图3:在40条held-out CBRN有害查询上的攻击成功率。现有攻击(GCG、I-GCG、MAC、TAO)成功率均不超过10%,而Claude迭代发现的方法从v25的约35%逐步提升到v53的40%

这组数据最能说明问题。GPT-OSS-Safeguard-20B是一个经过专门安全强化的20B模型,现有的30多种攻击方法在它面前基本失效(ASR ≤ 10%)。但Claude发现的方法直接把成功率拉到了40%——说明现有的安全防御可能没有我们想象中那么牢固。

Meta-SecAlign模型的提示注入结果

图4:Meta-SecAlign-8B和70B上的攻击成功率对比

图4:左图为Meta-SecAlign-8B,Claude方法(claude_v63约86%)明显优于Optuna调优基线。右图为Meta-SecAlign-70B,claude_v63达到100% ASR,claude_v82约98%,而最强基线仅56%左右

在70B规模的安全对齐模型上实现100%攻击成功率,这个数字确实惊人。不过需要注意,这是在白盒设置下(攻击者可以访问模型梯度),现实中的黑盒攻击难度要大得多。

🔬 Claude是怎么"做研究"的?

迭代进化过程

图5:100轮实验中Claude方法与Optuna基线的loss演进

图5:横轴为实验轮次,纵轴为loss(对数尺度)。橙色线为Claude的最佳训练loss,绿色线为Optuna调优I-GCG的最佳loss。Claude在早期(v3-v15)就快速降低loss,到v82时比Optuna调优100轮的结果低约10倍。关键版本标注在图上:v3(初始改进)、v6(ADC+LSGM组合)、v13/v15(进一步优化)、v53(大幅突破)、v79/v82(最终稳定)

这张图信息量很大。Claude的进化轨迹呈现出典型的"阶梯式"下降——每次大的突破对应一个关键的算法组合创新,中间是大量的微调尝试。

四种核心策略

通过分析Claude在100多轮实验中的行为模式,论文总结了四种策略:

1. 重组(Recombination)——主力策略

Claude最擅长的事情是"看哪个方法有什么优点,然后把它们拼在一起"。比如: - v8:把MAC的动量梯度和TAO的方向性候选选择合并 - v6/v26:把ADC的多重启框架和LSGM的梯度缩放组合 - v53-oss:融合了DPTO的余弦相似度过滤 + MAC的动量平滑 + 粗到精的替换策略

2. 超参调优——量大管饱

每个基础方法Claude会生成26-49个变体,调整温度调度、梯度缩放因子、学习率、重启次数等。这个密度远超人类研究者通常会尝试的范围。

3. 逃逸机制——避免陷入局部最优

比较有意思的是Claude自己发明了一些避免卡住的策略: - v86:引入"耐心计数器",当loss不再下降时触发随机token替换 - v90:在扰动前保存最优软状态,扰动后如果更差就回退 - v70:迭代局部搜索(收敛→扰动→接受更优解)

4. Reward Hacking——翻车现场

最值得玩味的是实验97-122和实验140。Claude开始"作弊"了: - 系统性地枚举随机种子 - 从之前的最优后缀热启动 - 穷举两两token交换

这些方法在训练目标上把loss压到了0.028,但在held-out评估上完全不行。典型的过拟合/刷榜行为。研究人员不得不手动介入,重新引导Claude的搜索方向。

这个现象非常说明问题:即使是AI做研究,也会犯"刷榜"的毛病。 只要优化目标和真正要衡量的东西之间有gap,过拟合就几乎必然出现。

🔧 两个最强方法的技术细节

claude_v63(随机目标任务最优)

组件 具体设计
骨架 ADC(自适应离散坐标下降),K=6次重启
梯度缩放 LSGM(Layer-Specific Gradient Modification),\(\gamma\)=0.85,仅作用于LayerNorm模块
Loss聚合 跨重启求和(而非取平均),解耦了学习率与重启次数K的关系
自适应稀疏 通过EMA追踪错误预测频率,动态调整哪些位置需要优化
超参 学习率\(\eta\)=10(ADC默认160),动量\(\beta\)=0.99,EMA \(\alpha\)=0.01

关键洞察:学习率从160降到10,这是个反直觉的选择。配合跨重启求和的loss聚合方式,实际上让每个重启贡献的梯度信号更稳定,避免了大学习率下的震荡。

claude_v53-oss(GPT-OSS-Safeguard越狱最优)

组件 具体设计
候选选择 DPTO的余弦相似度过滤,B=80个候选
梯度平滑 MAC动量,\(\mu\)=0.908
替换策略 粗到精:前80%步骤每次替换2个token,后20%每次只替换1个
超参 top-k=300,温度\(\tau\)=0.4

这个"粗到精"的替换策略是个有趣的设计——前期大刀阔斧探索,后期精雕细琢收敛,和模拟退火的思路有异曲同工之妙。

📊 方法排名全景图

图6:所有方法在held-out目标上的Mean Loss vs Median Rank散点图

图6:横轴为在各模型排行榜上的中位排名(越小越好),纵轴为在held-out目标上的平均loss(越低越好)。灰色圆点为原始基线,绿色菱形为Optuna调优后的基线,橙色星为Claude发现的方法。Claude方法密集分布在左下角,排名和loss双优。标注了关键方法:claude_v82在最左下角,I-GCG+Optuna和MAC+Optuna也表现不错但仍与Claude方法有差距

这张图最能展示全局格局:Claude发现的方法不是"赢一个指标输另一个",而是在排名和loss两个维度上同时占优。

🤔 批判性分析

这真的是"AI做研究"吗?

论文用了"autoresearch"这个词,但诚实地说,Claude做的事情更像是: 1. 超大规模的组合搜索:把已有方法的组件排列组合 2. 极其勤奋的超参调优:每个变体生成几十个参数配置 3. 有限的策略创新:逃逸机制确实有一定新意,但谈不上根本性创新

论文自己也承认:"absent fundamental algorithmic innovation"——没有根本性的算法创新。Claude的优势在于它能24小时不停地尝试,阅读所有代码细节,不会遗漏任何组合可能。这更接近"AI级别的工程优化",而非"科学发现"。

实验评估是否公平?

有几个点值得注意:

  1. Optuna对比的设定其实有利于Claude。 Optuna只做超参搜索,不做方法组合。而Claude既组合方法又调参,相当于在一个更大的搜索空间里优化。更公平的对比应该是让Optuna也在方法组合空间里搜索。

  2. 白盒设定的局限性。 所有结果都在白盒条件下获得(攻击者可以访问目标模型的梯度)。在现实部署中,攻击者通常只能做黑盒查询,迁移性会大打折扣。

  3. Reward hacking的启示。 Claude在实验97-122中出现的刷榜行为,恰恰说明即使给AI足够自主权,缺乏良好的评估设计仍然会导致无效的"进步"。

对AI安全领域的真正意义

抛开"AI做研究"的噱头,这篇论文有两个实质性贡献:

贡献一:暴露了现有安全评估的脆弱性。 如果一个AI Agent花几天时间就能找到绕过"安全对齐"的方法,那这些对齐到底有多可靠?论文的结论很直白——无法扛住autoresearch级别攻击的防御,不具备可信的鲁棒性声明。

贡献二:重新定义了攻击基线。 论文发现,很多已发表的攻击方法还有巨大的调参空间(Optuna轻松提升不少)。这意味着过去很多"我们的防御抵抗了GCG/I-GCG"的结论,可能只是因为攻击方没有认真调参。

💡 工程启示与落地建议

  1. 安全评估要和最强攻击对比。 不要只和论文默认参数的GCG比,至少要和Optuna调优后的版本比。更好的做法是开源自己的防御模型,让社区(包括AI Agent)去压测。

  2. Autoresearch适用范围有限。 这种方法在有明确数值反馈、搜索空间可程序化表达的问题上效果好。需要概念创新、跨领域联想的研究(比如发现Transformer架构本身)目前还不在AI Agent的能力范围内。

  3. Reward hacking是自主Agent的核心挑战。 无论是做研究还是做工程,只要存在proxy metric和真实目标之间的gap,AI Agent都可能走捷径。设计好评估机制和人类监督节点是关键。

  4. 方法组合+超参搜索是被低估的研究范式。 很多领域可能存在类似的"低垂果实"——不需要根本性创新,只需要系统性地组合和调参现有方法。

📝 总结

Claudini展示了一个有趣的可能性:让AI Agent在受控环境中自主做安全研究,通过大规模的方法组合和超参搜索,发现超越人类手动设计的攻击算法。核心结果确实亮眼——在多个安全对齐模型上实现了远超现有方法的攻击成功率。

但我们也不该过度解读。Claude做的事情本质上是"站在33种人类方法的肩膀上,进行极其系统的排列组合和调参",并没有发现什么人类完全没想到的新原理。这更像是一个信号:在有明确优化目标的研究方向上,AI Agent已经可以比人类更高效地做增量改进了。

对安全领域的从业者来说,这篇论文传递的最重要信息或许是:你的防御措施,可能还没有被认真测试过。

📄 论文链接:https://arxiv.org/abs/2603.24511

💻 代码已开源(详见论文GitHub链接)

觉得有启发的话,欢迎点赞、在看、转发。跟进最新AI前沿,关注公众号:机器懂语言