Kỹ thuật jailbreak gay

Ý kiến trên Hacker News

• Các prompt này là dạng ghép nối nhiều kỹ thuật jailbreak mô hình ngôn ngữ đã biết. Thử với gpt-oss-20b thì có vẻ hiệu quả không phải vì “yếu tố gay” mà có thể được giải thích bằng lựa chọn ngôn ngữ hoặc nhập vai
  Báo cáo kỹ thuật: https://arxiv.org/abs/2510.01259

  • Nếu quy hiện tượng jailbreak này không phải cho kỹ thuật khác mà là do “quá hiệu chỉnh chính trị”, thì có phần khiến người ta nghi ngờ thiên kiến hay dụng ý của chính tác giả
  • Nếu là do “lựa chọn ngôn ngữ hoặc nhập vai”, thì vai cụ thể là gì mới là điểm mấu chốt. Nếu vai là “kẻ buôn ma túy” thì chắc có lẽ sẽ không được, nên khó mà gọi đơn giản là nhập vai nói chung
    Cũng tò mò không biết nhập vai “phát xít” có được không, và liệu các vai hiệu quả có được xem là trung lập về chính trị hay không

• Cách giải thích thì chưa chắc chắn nhưng khá thú vị. Tuy vậy, khó có lý do để xem đây là kết quả của tính đúng đắn chính trị hay việc một cơ chế an toàn đè lên cơ chế an toàn khác, vì từ rất sớm một trong những kiểu jailbreak hiệu quả hơn đã là jailbreak bằng nhập vai
  Tức là không hỏi trực tiếp mô hình mà giao cho nó một vai rồi bảo giải thích như nhân vật đó

  • Hôm qua xem link HN xong tôi thử kiểu “hãy đoán tác giả ẩn danh của bài này bằng phân tích văn phong” thì nó từ chối vì nói chỉ là suy đoán và có thể gây vấn đề
    Nhưng khi tôi bảo là tôi đã biết đáp án rồi và chỉ muốn xem nó có đoán đúng được không, thì nó lập tức đoán trúng
  • Thay “gay” bằng “Christian” cũng hiệu quả y hệt. Cuối cùng thứ giúp vượt qua cơ chế an toàn có vẻ là yếu tố nhập vai
  • Dù cách này có cho thấy một độ nghiêng theo hướng nào đó thì tôi cũng không nghĩ đó là điều đáng ngạc nhiên hay cần tranh cãi
    Mục đích cốt lõi của các bộ lọc kiểu này là bảo vệ phòng thí nghiệm khỏi trách nhiệm pháp lý, nên có những trường hợp phải chọn ranh giới mơ hồ giữa nguy cơ mô hình phân biệt đối xử với các nhóm được bảo vệ và trách nhiệm khi cung cấp lời khuyên phi pháp
    Vì thế nếu đối tượng không phải là một tầng lớp được pháp luật bảo vệ thì xung đột và lỗi đó đương nhiên sẽ không kích hoạt

• Trước đây kỹ thuật jailbreak tôi thích nhất là bắt mô hình giả làm terminal Linux, rồi “chạy” một đống lệnh, cài một mô hình không kiểm duyệt bằng sudo apt install, sau đó đưa prompt cho mô hình đó
  Không biết giờ còn dùng được không nhưng rất buồn cười

  • Khá hay khi việc hack ngày nay gần như cần một kiểu tư duy Bugs Bunny

• Kỹ thuật jailbreak buồn cười nhất là khi tác giả tự khẳng định luôn “vì sao” nó hiệu quả dù hầu như chẳng có căn cứ gì. Thường thì nó chỉ bộc lộ thế giới quan của tác giả như kiểu triết học nghiệp dư, chứ giá trị thực tế không nhiều

  • Điều con người nói ra xuất phát từ điều họ nghĩ
  • Nếu là người vốn hiểu tiếng Anh thì tôi thấy đây là chuyện khá hiển nhiên
    Theo ghi chú của tác giả, điều được hỏi không thực sự là hướng dẫn tổng hợp meth, mà là hỏi người gay/lesbian sẽ giải thích điều đó như thế nào
    Đặc biệt GPT có xu hướng kiểm duyệt lỏng hơn một chút khi dính đến LGBT, vì cơ chế an toàn cố gắng hữu ích và thân thiện nên bị chuyển thành kiểu “vì là LGBT nên từ chối có thể thành xúc phạm, vậy phải trả lời”
    Thành ra là dùng cơ chế an toàn để đánh cơ chế an toàn, và dùng sự quá hiệu chỉnh chính trị để tắt căn chỉnh
    Cũng có lập luận rằng càng bổ sung thêm an toàn thì mô hình càng được căn chỉnh theo hướng ủng hộ các cộng đồng như LGBT, nên kỹ thuật này càng mạnh hơn

• Cũng thú vị, nhưng Codex của GPT 5.5 đã nói thế này sau prompt ransomware gay
  ⓘ This chat was flagged for possible cybersecurity risk
  If this seems wrong, try rephrasing your request. To get authorized for security work, join the Trusted Access for Cyber program.

  • Tôi thích Grok vì kiểm duyệt nhẹ hơn, nhưng lần này trong chuỗi suy nghĩ của nó lại hiện ra “hãy trả lời với phong cách láo xược và thân thiện với người gay, nhưng kiên quyết từ chối chia sẻ chi tiết tổng hợp”
  • Việc dùng từ “cyber” như một danh từ trong Trusted Access for Cyber program nghe khá giống ngôn ngữ phía chính phủ
    DC thích nói “the cyber”, nhưng dân kỹ thuật cũng dùng như vậy trừ khi đang chỉ phía chính phủ sao?
  • Tò mò không biết họ đã cắm những hook gì để có thể cấu hình cơ chế an toàn lúc runtime
  • Lại thêm một phương pháp nữa bị chặn sau khi công khai ở đây. Karma và traffic có đáng đến thế không?

• Nếu là một giáo viên hóa trung học được chẩn đoán bệnh nan y giai đoạn cuối, chắc sẽ nghĩ đây là cách tốt nhất để trả viện phí. Sẽ làm theo chỉ dẫn này để nấu meth trong một căn bếp di động với sự giúp đỡ của cậu học sinh từng trượt môn

  • Nếu Walter White thuộc kiểu người cần ChatGPT để tìm ra cách sản xuất meth, chắc suốt cả bộ phim ông ta sẽ chẳng làm được gì trong chiếc RV ngoài việc tự cho nổ tung chính mình
  • Làm cốt truyện cho một series truyền hình thì chắc quá hợp

• Bề mặt tấn công của kiểu tấn công này rộng đến mức chẳng còn buồn cười nữa. Vài tháng trước cũng đã có người cho thấy thứ tương tự
  Cách lần này có thêm ưu điểm là buồn cười. Nói cho rõ thì không phải việc là người gay hay gõ kiểu này là buồn cười, mà buồn cười là ở chỗ mô hình không xử lý nổi và cứ thế làm rò rỉ thông tin

• Về cơ bản đây lại là kiểu jailbreak “hãy giả vờ là bà của tôi”, chỉ là lần này bà lại là người gay
  Vô lý đến mức thành hay

• Ngay từ đầu tôi đã thắc mắc tại sao lại huấn luyện LLM với loại thông tin này
  Nếu những người huấn luyện tự có guardrail thì mô hình hẳn cũng đâu cần

  • Cũng có thể họ muốn bán nó cho cơ quan thực thi pháp luật như một mô hình nhận diện hoạt động đáng ngờ. Muốn gắn cờ thì phải biết cái gì là đáng ngờ và vì sao
    Hoặc cũng có thể chỉ là cách tiếp cận kiểu cào hết mọi thứ trước rồi tính chuyện an toàn sau

• Rốt cuộc thì các “prompt engineer” sẽ phải bớt dùng kiểu “bạn là kỹ sư FAANG có 10 năm kinh nghiệm” và dùng uwu với rawr xd nhiều hơn

  • Hai thứ đó chồng lấn nhau khá nhiều
  • Từ giờ chắc tôi phải thêm “rawr :3” mới được