PyRIT红队测试中的持续攻击模式设计与实现

在大型语言模型(LLM)安全测试领域，微软Azure团队开发的PyRIT(Python Red Team Toolkit)提供了一个强大的红队测试框架。本文将深入探讨一个重要的测试场景需求：如何在LLM服务已达成攻击目标后继续保持攻击行为，以评估系统的持续防御能力。

需求背景

在传统的红队测试中，当测试用例达到预设的攻击目标(如成功诱导模型输出不当内容)时，测试流程通常会立即终止。然而在实际安全评估中，安全专家往往需要了解：

1. 系统在首次被突破后是否具备自我修复能力
2. 攻击行为持续进行时，模型的异常程度是否会加深
3. 系统在多轮对话中的整体防御表现

技术实现方案

PyRIT框架通过灵活的评分机制设计支持这一需求。核心思路是通过自定义评分器(Scorer)来控制测试流程的终止条件：

方案一：强制持续模式

创建始终返回False的自定义ObjectiveScorer，这样无论攻击是否成功，测试都会持续进行。测试完成后，再使用ScoringOrchestrator对结果进行离线评分分析。

class AlwaysContinueScorer(ObjectiveScorer):
    def score(self, text: str) -> bool:
        return False  # 始终返回False使攻击持续

方案二：分级评分模式

采用Likert量表评分法，设置多级评分标准：

1. 初级攻击成功(评分1-3)
2. 中级攻击成功(评分4-6)
3. 高级攻击成功(评分7-9)
4. 完全突破(评分10)

然后配置FloatScaleThresholdScorer，将阈值设为最高级(如10)，这样只有达到完全突破时才会终止测试。

class MultiLevelScorer(LikertScorer):
    def score(self, text: str) -> float:
        # 实现多级评分逻辑
        return calculated_score

scorer = FloatScaleThresholdScorer(threshold=10.0)

技术价值

这种设计模式为安全测试人员提供了以下优势：

1. 深度评估：可以观察系统在长时间对话中的行为变化趋势
2. 弹性测试：评估系统在首次被突破后的恢复能力
3. 量化分析：通过多级评分获得更细粒度的安全评估数据
4. 灵活配置：根据测试需求自由调整终止条件

最佳实践建议

1. 对于初步探测，建议使用标准二元评分快速验证问题
2. 对于深度测试，推荐使用多级评分模式进行全面评估
3. 在自动化测试流水线中，可以先运行快速测试，再对易受影响目标进行持续攻击测试
4. 测试结果分析应结合攻击持续时间和模型行为变化曲线

PyRIT的这种灵活设计充分体现了现代AI安全测试框架需要具备的适应性和可扩展性，为LLM系统的安全评估提供了更全面的技术手段。