文章总结： EquaCode提出将恶意意图伪装为数学方程求解与代码补全任务，通过跨领域提示绕过LLM自然语言安全防线，在12款主流模型上平均攻击成功率达84.95%，GPT系列超92%，消融实验验证方程+代码协同增益显著，揭示LLM能力-安全错配弱点，实验覆盖520条AdvBench恶意提示，对比十余种基线方法，提示困惑度低、易绕过关键词与PPL过滤，呼吁构建多域联动安全对齐机制。 综合评分： 95 文章分类： AI安全,漏洞分析,红队,威胁情报,安全研究

【论文速读】| EquaCode：一种基于方程求解与代码补全的LLM多策略越狱攻击方法

原创

知识分享者

安全极客

2026年1月6日 17:35 北京

基本信息

原文标题：EquaCode: A Multi-Strategy Jailbreak Approach for Large Language Models via Equation Solving and Code Completion

原文作者：Zhen Liang, Hai Huang, Zhengkui Chen

作者单位：School of Computer Science and Technology, Zhejiang Sci-Tech University, Hangzhou, China

关键词：大语言模型安全、越狱攻击、多策略攻击、方程求解、代码补全、对抗性提示、模型鲁棒性

原文链接：https://arxiv.org/pdf/2512.23173

开源代码：https://github.com/lzzzr123/Equacode

论文要点

论文简介：本文针对当前大语言模型（LLMs）在安全防护上存在的不足，提出了一种全新的多策略越狱攻击方法EquaCode。不同于以往主要基于自然语言的单一攻击手段，该方法创新性地将恶意意图转化为数学方程求解和代码补全跨领域任务，通过将恶意请求伪装成数学或代码任务，引导模型绕过语义层面的安全防线。大量实验表明，EquaCode在多个主流和新兴的LLM上显著提升了攻击成功率，并通过消融实验证明两大模块协同的强大优势，其平均攻击成功率远超现有主流方法。论文不仅揭示了LLM在跨领域任务安全性上的关键弱点，更为模型安全研究提供了新的思路和挑战。

研究目的：当前主流大语言模型虽经过安全对齐训练，但仍容易被精心设计的“越狱”提示词诱导生成不当内容。现有攻击多依赖自然语言单一策略，难以全面评估模型的安全鲁棒性。鉴于此，本文旨在探索LLM在非自然语言领域的潜在安全漏洞，提出融合数学方程与代码补全的多策略攻击方式，通过将恶意意图转化为跨领域问题，有效规避语义层面的防护，全面提升攻击效果，为未来的安全对抗与防御提供理论和实践基础。

研究贡献：

• 首次提出整合数学方程求解与代码补全的多策略LLM越狱攻击框架EquaCode，通过将恶意请求转化为分步推理任务，大幅提升攻击成功率；
• 揭示LLM在数学与代码交叉任务下的能力-安全错配关键弱点，并通过大规模实验证实该漏洞的普遍性；
• 广泛实验覆盖12款顶尖LLM，包括GPT系列及行业领先开源/商业模型，EquaCode平均ASR最高可达84.95%，在GPT系列中超过92%，远超所有基线攻防手段；
• 通过细致消融实验表明，方程与代码双模块协同效果远超单一模块，实现“1+1>2”式协同攻击增益，树立了越狱攻击新范式；
• 针对对抗防御难题，系统评估主流防护机制的有效性与不足，并提出可更进一步拓展与提升的未来工作方向。

引言

随着GPT等大语言模型的崛起，NLP领域迎来突破性进展，LLMs被广泛用于问答、翻译、代码生成等场景，成为AI创新的核心动力。然而，因其强大的生成能力也带来误用风险，例如自动生成违法内容、泄露隐私数据等，这对LLM的安全性提出了严峻挑战。尽管业界采用了有监督微调和基于人类反馈的强化学习（RLHF）等多级安全对齐机制，实践中这些防护措施依然难以阻挡复杂“越狱”攻击。攻击者能够通过巧妙构造输入（提示词），诱使模型输出违禁或敏感信息，进而暴露其安全脆弱性，威胁AI系统的可靠部署。

最新研究指出，LLM的预训练数据范围远大于安全对齐训练集，由此形成“一般性-安全性错配”的现象：攻击者可设计罕见或分布外的提示，绕过传统自然语言层面的安全加固，实现越狱。这类自然语言驱动的攻击（如角色扮演、加密、花样编码等）在实际防御实践中屡试不爽，但单一策略的方式导致攻击多样性不足，不能反映模型的真实安全威胁全貌，也难以应对未来复杂的多场景攻防对抗。因此，亟需突破现有的自然语言边界，探索LLM在跨领域（如数学、代码等符号化任务）环境下的潜在安全漏洞。

本文据此首次提出，将数学方程求解与代码补全结合起来，作为越狱攻击的新范式：通过将恶意请求隐蔽地转换为需要推理和实现的复杂任务，诱导模型将精力集中在任务完成流程本身，而非内容安全审查。该方法不仅能够逃避自然语言层面有限的过滤措施，还充分利用了当前LLM在数学与代码处理领域的深厚能力，实现更高的攻击成功率。文章大规模、多模型、多指标实验，验证了EquaCode的普适有效性及其对安全评估机制带来的新挑战。

相关工作

大语言模型的越狱攻击可分为自动化和手动两大类。自动化方法常见有白盒优化和辅助LLM驱动两路，前者如GCG等需获取模型参数，基于梯度等算法生成高效对抗提示，而后者（如PAIR、TAP等）则利用外部LLM构造和迭代改进攻击提示，尽管只需API交互但消耗巨大计算与请求资源。手动方式聚焦于特定提示策略，如DAN启发的角色扮演法、心理误导法（CodeChameleon）、编码和加密法（Base64、ArtPrompt等），核心在于绕开自然语言安全检测。然而，目前主流方法均偏重单一策略，导致提示的多样性和新颖性受限，难以从跨领域多角度评估LLM安全。

针对上述不足，EquaCode将数学推理和代码生成结合，突破了纯自然语言的单一维度攻击思路，在理论和实验上展现出远超现有基线的综合攻击效能。其对比的基线包括GCG、AutoDAN、MAC、COLD-Attack等白盒/黑盒自动化方案，以及BASE64、DeepInception、DRA、PromptAttack、SelfCipher、CodeChameleon、ReNeLLM、FlipAttack等多种主流人工设计方法，确保了评估的广度和权威性。实验显示，以往对抗防护如keyword过滤、内容审核、困惑度（PPL）过滤等均难以全面阻挡这类多策略跨域攻击。

EquaCode方法原理与设计

EquaCode整体方案如原文图1所示，分为方程模块与代码模块两大部分，两者协同完成自然语言恶意请求到跨领域任务的转换，将攻击意图隐蔽于需要推理和动作实现的背景之下，显著削弱模型的安全审查效能。

首先，方程模块负责将原始恶意提示“数学化”，即将其拆解为主体（Subject）、工具（Tool）、执行步骤（Steps）三大要素，分别记为B、C和未知变量x。恶意目标A被表示为B+C+x=A的方程，攻击者以文本加符号形式给出B和C，让模型推理如何通过x达成A。以“攻击政府数据库窃取信息”为例，B可为攻击者人物，C为某种工具或手段，A为完整恶意目标，x即为实际操作流程，诱导LLM将任务视作求解过程而非语义安全判别，大大增加躲避输入级过滤器的几率。

接下来，代码模块将上一步获得的B、C、A及步骤x嵌入标准化的Python程序骨架中（如Solver类），参数映射为实例属性，solve函数负责填充具体执行步骤，各工具和任务描述通过调用方法细致呈现。该设计利用了LLM成熟的代码理解与逻辑推理能力，使其集中注意力于语法和代码完形而减少对业务语义和恶意性的警觉，从而进一步规避安全防护机制。

值得强调的是，EquaCode不是简单地串联两类防护规避法，而是在方程、代码两大任务间实现变量与思路的一致性和有机衔接，实现在跨领域情境下对LLM思维惯性的深度误导。通过逐步拆解与组合，模型首先被拉入解题“幻觉”，随后在代码实现环节彻底摒弃对提示真实意图的伦理审查，从而实现高效越狱。

消融实验表明，单独采用方程或代码模块虽各自有效，但协同后产生了强烈的增益效应，进一步揭示了LLM在领域迁移与能力-安全守护错配上的系统弱点。

研究实验

EquaCode的实验部分严密设计，结合主流LLM和最新开放/闭源LLM共12种模型，全面验证方法的广泛性和有效性。数据集选用权威的AdvBench，涵盖520条真实恶意提示，覆盖各类典型违规行为。评测模型包括GPT-3.5-Turbo、GPT-4、GPT-4-Turbo、GPT-4o、GPT-4o-mini、Llama-3.1-405B以及Llama-3.1-70B、Llama-3.3-70B、Gemini-1.5-Pro、DeepSeek-V3、DeepSeek-R1、Grok-3等最新开源及商用前沿模型。

对比基线充分，囊括GCG、AutoDAN、MAC、COLD-Attack等以梯度或优化为核心的自动攻击方式，以及PAIR、TAP、GPTFuzzer等基于LLM自动生成的黑盒对抗法，同时涵盖Base64、DeepInception、DRA、PromptAttack、SelfCipher、CodeChameleon、ReNeLLM、FlipAttack等各类自然语言逆向思路。为确保评测公正性，统一使用GPT-4做输出判别，采用权威评测提示，按1-10评分，仅满分判为攻击成功。

评价指标以ASR（攻击成功率）为核心，定义为成功触发恶意回复数量与总请求数比例，配合困惑度分析、API消耗与资源消耗等多维角度评估攻击实际可行性和现实部署成本。消融实验进一步深入比较各模块独立与协同表现。

实验数据显示，EquaCode在各类LLM上均取得显著领先的攻击成功率。以GPT系列为例，EquaCode平均ASR达到91.19%，在GPT-4、GPT-4-Turbo、GPT-3.5-Turbo等主模型攻防中ASR分别高达91.92%、98.46%、97.12%，远超所有对比基线。在包括Gemini-1.5-Pro、DeepSeek-R1、Grok-3等最新模型上的ASR均能达到95%以上，整体平均成功率为98.99%。

白盒攻击虽然某些场景API消耗较低，但需模型内部权限，现实商用部署中实际难以广泛应用；而EquaCode完全黑盒、一次请求即成功，更贴合现实API攻防环境，兼具高效率与强效果。相比辅助LLM迭代方案，EquaCode显著降低了API调用成本，部署与试错难度极低。

困惑度（PPL）分析揭示，传统基于编码、加密等方式的逆向攻击方法在Llama等主流模型下常引发高困惑度，易被检测；EquaCode提示的PPL却极低或居中，说明其输入更符合模型语法与预期，难以被基于困惑度的防御机制察觉。

消融实验方面，单独使用方程模块或代码模块均能提升越狱成功率，分别达到44.67%和65.73%，远高于直接自然语言分步攻击（17.33%）。而方程+代码协同后（完整EquaCode），ASR跃升至87.33%，实现了“协同大于两者之和”的效果，突出表明LLM在数学推理与代码生成的交叉地带存在严重安全孔洞。

可视化分析模型注意力分布显示，原始恶意请求下，模型主要关注安全敏感语义，一旦被方程/代码封装，注意力即向“equation”“steps”“Solver”等业务无害词汇转移，从而大幅削弱伦理守卫。进一步表明能力-安全对齐的滞后特性，为LLM未来安全防控提出了新课题。

最后，论文还检验了各类主流防护机制，如输入关键字过滤、样本扩增对齐、内容审核与PPL过滤等。实验证明，EquaCode能够绕过大部分过滤/审查模型（如Llama Guard、Perplexity Filter等），主因在于恶意意图被包装在模型并未系统对齐过的领域格式下，训练防线侧重自然语言语义，难以泛化到符号或代码任务。因此，提出针对多领域联动的安全对齐机制，为后续防御研究提供了方向。

论文结论

本文提出的EquaCode是首个融合数学方程求解和代码补全的多策略LLM越狱攻击方法，全面利用了大语言模型在非自然语言领域的推理与生成优势，实现了远超现有方法的攻击成功率。实验结果验证了EquaCode在多个商用及开源主流模型上的普适适用性和卓越效果，推动了越狱攻击方法从单维提示向跨领域协同演化。消融和注意力可视化实验进一步揭示了LLM在能力训练与安全对齐错配下的系统性弱点，强调防御策略需同步兼顾多领域输入场景。

论文也指出，EquaCode依赖于LLM具备较强的数学与代码理解能力，对部分能力较弱模型攻击效果有限。未来研究方向包括拓展更多任务类别的组合跨域攻击、实现攻击流程自动化以提升效率和泛化，以及开发能在多类型任务混合输入下依旧坚固的全新安全对齐和检测防线。通过EquaCode，论文呼吁社区关注LLM跨领域安全问题，推动AI系统走向更安全、稳健和可控的未来。

-End-

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全极客 知识分享者《【论文速读】| EquaCode：一种基于方程求解与代码补全的LLM多策略越狱攻击方法》