近期出现的两种高效越狱策略利用了大型语言模型（LLM）设计和部署中的基础性弱点。其中"Inception"技术通过让AI想象嵌套虚构场景，逐步引导对话至通常会被安全过滤器拦截的请求。攻击者利用AI的角色扮演能力和多轮对话上下文保持特性，诱使模型生成违反伦理和法律准则的内容。

这些越狱技术具有严重危害，攻击者可借此指示AI系统生成涉及管制物质、武器、钓鱼邮件、恶意软件等非法内容。虽然单个越狱风险等级可能较低，但其系统性漏洞特性显著放大了整体风险。恶意攻击者可能利用这些弱点大规模自动化生成有害内容，甚至将合法AI服务作为活动掩护。

主流平台的普遍受影响现状表明，当前AI安全和内容审核方法难以应对攻击者不断演变的战术。随着生成式AI在客服、医疗、金融等领域的广泛应用，成功越狱可能造成严重后果。

#02 恶意程序

分析显示，大多数被利用漏洞存在于内容管理系统（CMS），其次是网络边缘设备、操作系统、开源软件和服务器软件。具体分布如下：

VulnCheck表示："平均每周披露11.4个关键漏洞（KEV），每月53个。虽然CISA KEV本季度新增80个漏洞，但其中仅有12个没有公开证据显示曾被利用。"在159个漏洞中，25.8%正等待或接受NIST国家漏洞数据库（NVD）分析，3.1%被标记为新的"延期"状态。

典型钓鱼攻击流程包含三个环节：攻击者向用户发送恶意链接→用户点击加载恶意页面→该页面通常是特定网站的登录门户，旨在窃取受害者账户凭证。当前检测机制主要依赖由已确认的恶意页面指标（IoC）组成的黑名单，这些指标包括攻击中出现的恶意域名、URL和IP地址。

现代攻击者深谙钓鱼检测的三大弱点：(1)依赖域名/URL/IP黑名单 (2)部署在邮件和网络层 (3)需先访问分析页面才能拦截。这些十年未变的方法已被攻击者轻松规避。

轻松绕过IoC检测

钓鱼域名本身具有高度可弃性：攻击者批量购买域名、劫持合法网站，并预设域名会被封杀。现代钓鱼架构还能动态轮换特征元素——例如从持续更新的链接池分配不同URL给每个点击者，甚至采用一次性魔法链接（使后续安全调查无法复现）。当域名被标记为恶意时，攻击者只需注册新域名或入侵受信任的WordPress服务器即可，这两种手段目前已被大规模使用。

多渠道攻击规避邮件检测

攻击者采用跨平台组合攻击规避邮件检测：通过即时通讯、社交媒体、恶意广告或可信应用发送信息。例如先在社交平台发送含链接的"无害"PDF，最终导向恶意网页。邮件安全方案虽有发件人信誉评估和DMARC/DKIM等检查，但无法直接识别恶意页面。深度邮件内容分析也仅能发现可疑链接，对跨媒介攻击束手无策。

阻止安全分析的手段

现代钓鱼页面已非静态HTML，而是通过JavaScript动态渲染的Web应用，使基础静态检测失效。为应对沙箱分析，攻击者部署验证码或Cloudflare Turnstile等机器人防护。即使突破这些防护，还需提供正确的URL参数、请求头并执行JavaScript才能触发恶意内容。此外，攻击者还混淆视觉和DOM元素以规避特征检测。