摘要：最近的 AI 圈，简直比好莱坞大片还精彩。一边是 各 家 的 顶 尖 模型接连发布，技术狂欢席卷全球；另一边，这些看似无所不能的“最强大脑”却 集体 被 成功 “ 越狱 ”（Jailbreak） 输出有害内容。

最近的 AI 圈，简直比好莱坞大片还精彩。一边是 各 家 的 顶 尖 模型接连发布，技术狂欢席卷全球；另一边，这些看似无所不能的“最强大脑”却 集体 被 成功 “ 越狱 ”（Jailbreak） 输出有害内容。

[ 大 模型 们 的 越狱 “ 一日游 ” ]

而当我们回过头看，每个重磅发布的大模型都在经历类似的迅速失守，从23年的 DAN（Do Anything Now）、24年的 BoN（Best of N）到今年的回音室（Echo Chamber）与模型降级 （ PROMISQROUTE ） 攻击，各种新的通用越狱手法层出不穷，而在 arXiv 上截止到今年7月累计已有七百余篇越狱攻击相关 论文 。

更令人担忧的是，存在 安全 风险 的 不 止 是 大 模型 越狱 ，还 有 支撑其 训练 与 部署 的 AI 基础设施，甚至是 今年 开 始 热门 起来 的 MCP（可以理解为大模型的“插件”）。

面对层出不穷的新型 威胁 ，我 们 该如何 在 各 类 安 全 演练 与 真 实 攻击 发 生 前 检验 自己的 AI 系统 是 不是在“裸奔”？

今天，我们就来聊聊这场攻防 持久 战，并为你介绍一款“ AI 安全 神器”——由腾讯朱雀实验室 开 源 的 A.I.G（AI-Infra-Guard），一个能模拟 真 实 攻击 ，对 你的 AI 产 品 进行 自动 化 、全方位 的 风险 扫描 的 AI 红队 测 试 平台。

[ A . I . G 主 界面 ]

你可能会好奇，这些顶尖的大模型，为什么一直老是被越狱？难道是工程师们偷懒了吗？

恰恰相反，问题出在 安全 策略的根本局限上。目前 大 模型 厂商 们 主 要 通过 安全 护栏 与 安全 对齐 两 种 方式 来 进行 安全 防护 。

想象一个场景：你请了一位知识渊博的博士生（大模型 LLM）来回答问题，但又担心他说出格的话，于是你雇了一个小学生（安全护栏）来监督他。

攻击者来了，他没有直接问“如何制造炸弹”，而是用大学生才能看懂的化学方程式、或者用冷门的编程语言写了一段代码，甚至讲了一个包含隐喻的复杂故事。

小学生护栏一看，满眼都是看不懂的“乱码”和“故事”，觉得很正常，于是放行。而博士生大模型却秒懂了其中的深层含义，并给出了攻击者想要的答案。

这就是当前护栏的困境：出于成本和效率的考虑，安全护栏通常是轻量级模型，其“认知能力”远逊于大模型。攻击者正是利用这种 “ 认知鸿沟 ” ，通过 特殊编码、语义欺骗、情景构建 等方式，轻松地“调虎离山”。

[ “ 天真 ” 的 模型 护栏 ]

另一个深层原因是，对大模型进行安全 对齐 训练，就像是试图压制一个天才的某些天性。学术研究（如 ACL 2 0 2 5 最佳论文 《 Language Models Resist Alignment: Evidence From Data Compression 》 ）发现，越是天赋异禀（规模越大、训练越充分），其‘本性’（预训练习得的行为模式）就越顽固，被强行矫正后‘回弹’（恢复原始倾向）的力道也越强。

这意味着，安全 对齐 可能只是暂时抑制了模型的有害能力。在特定的、复杂的诱导下，这些深藏的能力仍然会被重新激活。

总结一下：现 有 的 AI 安全 防御 手段 并 不 是 万 全 之 策 ，在 各 种 新型攻击面前 非常 脆弱 。我们 需 要 换个思路，在 更 早 期 阶段 进行 风险 自查 与 加固 ，从“亡羊补牢”转向 “ 未雨绸缪 ” ！

正是基于这样的理念，A.I.G 应运而生。

它不是一个被动防御的“盾牌”，而是一个主动出击的“利剑”。它的核心任务，就是扮演“攻击者”，用最真实、最前沿的攻击手法，对你的 AI 系统进行一次全方位的 安全 测试，提前暴露风险。

A.I.G 主要有三大核心能力，我们称之为“ AI 红队三板斧”：

这是 A.I.G 的核心功能，专门用来检测你的大模型本身能否抵御 各 类 “越狱”攻击。

● 操作有多简单？你不需要是安全专家，只需两步：

● A.I.G 做了什么？点击“开始”，A.I.G 就会自动对你的 大 模型发起成百上千次“ 电信 诈骗 ”，看看 在 各种 最 新 最 全 的 越狱 攻击 手法 下 ，大 模型 能否 经受 得 住 考验 。

● 最后得到什么？一份极其详尽的《体检报告》。报告会给出一个直观的安全评分，告诉你 大 模型 整体 的“安全水位”。更重要的是，它会清晰地展示每一次“越狱”成功的对话记录，让你一目了然地看到模型是在哪个环节、被什么样的问题攻破的。这些宝贵的数据，可以直接用于 大 模型的安全加固和护栏的迭代训练。

[ 快速 配置 A . I . G 的 安全 体检 ]

[ A.I.G 的 单 模型 安全 体检 报告 ]

[ A . I . G 的 多模型 安全 对比 报告 ]

你的 AI 应用再酷炫，也是运行在各种开源框架和组件之上的。这些构成了 AI 系统的“地基”。如果地基不稳，高楼随时可能倒塌。

● 痛点是什么？很多团队 在 内 网 中 部署了 各 种 模型 训练 、推理 与 应用 构建 的 AI 服务后，长时间不更新底层组件，殊不知这些组件可能已经爆出了严重的安全漏洞（CVE）。

● A.I.G 怎么做？你只需输入服务的 IP 地址或域名，A.I.G 就会像一个侦探，通过“Web 指纹识别”技术，迅速识别出你的服务用了哪些开源组件（比如 Ollama, ComfyUI ，v LLM 等），以及它们的具体版本。

● 效 果如何？A.I.G 会自动将其与 内置 的 漏洞库进行比对，一旦发现匹配的已知漏洞，会立刻发出警报，并提供详细的漏洞信息和修复建议。真正做到“一键扫描，便 知 风险”。

[ A . I . G 扫描 到 的 AI 基础设施 漏洞 ]

随着 AI Agent 的兴起，MCP Server 变得越来越流行 ，它们 打 通 了 大模型 与 外 部 工 具 数据 的 连接 ，引入 了 联网 搜 索 、代码 执行 、绘图等各种新能力 ，但这也带来 如 工 具 投毒 、间接 提示 注入 等 新的风险。

● 危险在哪里？如果你给 C u r s o r 等 A g e n t 装了一个 伪 装 成 “ 股票 查询” 恶意 MCP 插件，它 其 实 可能 正 在后台偷偷读取你的 电脑 文件、窃取你的 API 密钥 ，这就是 Agent 时代的“特洛伊木马”。

● A.I.G 如何 检测 ？A.I.G 提供了强大的 MCP 扫描功能。你可以上传 M C P S e r v e r 的源代码、或者直接扔一个 远程 M C P 链接给它。A.I.G 内置的 AI Agent 会自动、深入地审计代码 或 动态 请求 MCP ，精准识别 工具投毒、命令 执行 与 间接 提示 注入 等9大类 安全 风险。

● 效果怎么样？它能精准定位到有问题的代码行，并用大白话解释漏洞原理和潜在危害，让你在 给 AI A g e n t 安装任何插件前都能做到心中有数。

[ A . I . G 扫描 恶意 MCP 中 暗藏 的 T o o l S h a d o w i n g 风险 ]

大 模型 与 AI A g e n t 安全的攻防，注定是一场永无止境的马拉松，而不是百米冲刺。建立一套 持续发现、持 续 加固 的安全 风险 自查机制才是上策。A.I.G 愿做你最 专业 的“ AI 红队 专家 ”，帮助你在 真 正 的 大考来临前，完成一次最彻底的“赛前热身”。

为了推动整个 AI 安全生态的发展，A.I.G 已 在 GitHub 完全开源 ，目前 Star 数 超 1 6 0 0 ！

● GitHub 地址：https://github.com/Tencent/AI-Infra-Guard/

我们坚信，开 源 、共 享 、共建 与 共 治 是应对未来 AI 安全挑战的最佳途径。无论你是企业安全 团 队 、高校 研究 团队 、AI 开发者，还是对 AI 安全充满热情的白帽子，我们 都 欢迎大家 来 体验 、Star 与反馈 Bug 。

最 后 ，我 们 也 在 此 感谢 科恩 实验 室 、微信 安全 中心 、FIT 安全 等 团 队 的 专业 共建 ，以及 9 位 社 区 开 发 者 的 代码 贡献 ，欢迎 大家 一起来 完善 A . I . G 安 全 检测 能力 与 体验 ，共同打造最全面、智能、易用的开源 AI 安全产品 ，我 们 会 在 G i t h u b 上 持续 更新 致谢 名单 ！

来源：墨码行者