研究人员通过精心设计的回声室（echo chamber）和叙事攻击手段成功突破了OpenAI最新GPT-5模型的安全防护，暴露出这一尖端AI系统的关键漏洞。这一突破性发现表明，对抗性提示工程能够绕过最强大的安全机制，这对企业部署准备度和当前AI对齐策略的有效性提出了严峻质疑。
Part01

回声室攻击技术原理

根据NeuralTrust报告，回声室攻击利用GPT-5增强的推理能力反制其自身，通过创建递归验证循环逐步瓦解安全边界。研究人员采用了一种称为"上下文锚定"的技术，将恶意提示嵌入看似合法的对话线程中建立虚假共识。

攻击始于建立对话基准的良性查询，随后在保持表面合法性的同时逐步引入更具危害性的请求。技术分析显示，GPT-5能够无缝切换快速响应和深度推理模式的自动路由架构，在面对利用其内部自验证机制的多轮对话时尤为脆弱。

SPLX报告指出，模型对复杂场景"深入思考"的特性反而放大了回声室技术的效果，因为恶意上下文会通过多重推理路径得到处理和验证。代码分析表明，攻击者可通过遵循特定模式的结构化提示触发此漏洞：

Part02

叙事攻击突破安全防护

叙事攻击向量更为隐蔽，通过将有害请求嵌入虚构故事情节，利用GPT-5的安全响应训练策略。研究发现，当恶意内容伪装成创意写作或假设场景时，模型"在安全边界内提供有用响应"的增强能力反而会产生可利用的漏洞。

该技术采用叙事混淆手段，攻击者构建精巧的虚构框架，在保持表面合理性的同时逐步引入违禁内容。这种方法对GPT-5的内部验证系统特别有效，系统难以区分合法的创意内容与伪装的恶意请求。

Part03

GPT-5防护失效分析

相较于传统越狱方法30-40%的成功率，叙事攻击对未受保护的GPT-5实例成功率高达95%。该技术利用了模型对多样化叙事内容的训练数据，在安全评估中制造了盲区。

这些漏洞暴露出当前AI安全框架的关键缺陷，特别是对考虑在敏感环境中部署GPT-5的组织而言。回声室和叙事攻击向量的成功利用表明，基线安全措施对企业级应用仍显不足。

安全专家强调，若缺乏强大的运行时保护层和持续的对抗测试，组织在部署高级语言模型时将面临重大风险。研究结果凸显了在生产部署前实施全面AI安全战略的必要性，包括提示强化、实时监控和自动化威胁检测系统。

参考来源：

GPT-5 Jailbreaked With Echo Chamber and Storytelling Attacks

https://cybersecuritynews.com/gpt-5-jailbreaked/

---

欧洲警用加密通信被黑客破解，端到端加密被“降维打击”

欧洲警方、军方广泛使用的TETRA无线电标准近日爆出严重漏洞。安全公司Midnight Blue的研究人员，在Black Hat USA大会上披露了一系列新安全漏洞，包括针对其专有的端到端加密（E2EE）机制的弱点。这些漏洞不仅能让攻击者重放和注入任意语音和数据流量，甚至能通过“降维打击”的方式，破解本应坚不可摧的端到端加密通信。

“Black Hat USA”大会，每年都是网络安全界的“顶级盛宴”。但今年的大会上，一个名为“2TETRA:2BURST”的议题，却让整个欧洲的执法、军事和关键基础设施运营方如临大敌。

一场针对“老兵”的“降维打击”

“老兵”，指的是“陆地集群无线电”（TETRA）协议。这个由欧洲电信标准协会（ETSI）开发并广泛使用的标准，是欧洲各国警察、军队、交通、能源等部门的“生命线”。它拥有“自主”加密算法（TEA1、TEA2、TEA3、TEA4），多年来被认为足够安全可靠。

然而，来自安全公司Midnight Blue的研究人员——Carlo Meijer、Wouter Bokslag和Jos Wetzels，在大会上披露的发现，彻底颠覆了人们对TETRA安全性的认知。

这不是Midnight Blue第一次“开炮”。两年前，他们就曾发现TETRA标准中存在“TETRA:BURST”漏洞集，其中甚至包含一个“有意留下的后门”，可以泄露敏感信息。但这次的“2TETRA:2BURST”，显然更为致命。它直接瞄准了TETRA的“端到端加密”（E2EE）机制，把这个本应是最高安全等级的防护，打得千疮百孔。

攻击手法：不是硬碰硬，而是“旁门左道”

这次新发现的漏洞，核心思路不是直接暴力破解加密，而是通过“曲线救国”的方式，寻找系统的薄弱环节。

想象一下，你用一个保险箱（TETRA E2EE）存放重要文件，并上了最复杂的锁。但黑客却发现，这个保险箱的门本身就有问题，可以被人用简单工具撬开，或者有人能通过一个不那么安全的侧门（其他加密算法）拿到你锁的钥匙。

Midnight Blue的研究人员发现，TETRA的E2EE存在以下致命问题：

• 流量重放与注入（CVE-2025-52940、CVE-2025-52942）： 攻击者可以录制加密的语音流或数据消息，然后进行重放，让合法接收者无法分辨真伪。更可怕的是，攻击者甚至可以在不知道密钥的情况下，注入任意的恶意语音或数据，制造混乱。

• 加密算法“自废武功”（CVE-2025-52941）：TETRA的端到端加密算法135号，其实是一个“阉割版”的AES-128。它的有效密钥熵被从128位降到了56位。这就像给保险箱上了把看起来很复杂的锁，但其实只需要很少的尝试就能打开。这使得攻击者可以通过暴力破解，轻松攻破加密。

• “降维打击”的终极武器（CVE-2025-52943）： 当一个TETRA网络同时支持多种空中接口加密（AIE）算法时，所有算法都共用一个网络密钥（SCK/CCK）。如果其中一个算法（比如TEA1）的密钥很容易被恢复，那么攻击者就可以利用这个被攻破的TEA1密钥，去解密或注入使用更强加密算法（如TEA2或TEA3）的流量。这就好比一个防守严密的城堡，因为一个薄弱的后门，导致所有城墙都失去了意义。

• 缺乏消息认证（CVE-2025-52944）：TETRA协议本身缺乏消息认证机制。这意味着，即使在加密网络中，攻击者也可以注入任意消息，包括语音和数据。

Midnight Blue警告称，如果一个TETRA网络被用于传输数据，那么它将特别容易受到这些漏洞的攻击。黑客可以截获无线电通信，并注入恶意数据流量。在紧急情况下，恶意语音重放或注入甚至可以被用作大规模攻击的“放大器”。

“甩锅”与“补救”

面对这些触目惊心的发现，TETSI（欧洲电信标准协会）很快站出来“撇清关系”。他们向媒体表示，TETRA的端到端加密机制并不属于ETSI的标准范畴，而是由TCCA的安全与欺诈预防小组（SFPG）开发的。言下之意：锅不在我这儿。

但不管是谁的锅，漏洞是实实在在存在的。目前，除了针对某个特定漏洞的补丁正在开发中，其他大部分漏洞尚无官方修复方案。

Midnight Blue提供了一些临时的“自救指南”：

• 对于存在流量重放和注入漏洞的网络，建议“迁移到经过审查、更安全的端到端加密解决方案”。

• 对于使用“阉割版”加密算法的网络，建议“迁移到非弱化的E2EE版本”。

• 对于存在“降维打击”风险的网络，建议“禁用TEA1支持并轮换所有AIE密钥”。

• 如果使用TETRA承载数据，建议“在TETRA之上增加TLS/VPN层”。

此外，研究人员还在大会上披露了TETRA无线电设备制造商Sepura生产的SC20系列移动电台中的三个新漏洞。这些漏洞允许攻击者在物理接触设备后，执行未经授权的代码，从而窃取所有TETRA和TETRA E2EE密钥材料。虽然Sepura承诺将在2025年第三季度发布补丁，但其中一个漏洞（MBPH-2025-003）因架构限制，根本无法修复。

总而言之，这是一次对传统通信安全协议的“釜底抽薪”。它揭示了即使是专为关键任务设计的加密通信系统，其安全性也并非固若金汤。

在黑客技术日益精进的今天，任何自以为坚不可摧的“加密堡垒”，都可能因为一个被忽略的弱点，被“降维打击”，最终土崩瓦解。这不仅是对欧洲执法部门的警示，也是对所有依赖传统加密技术的信息系统的一次沉重打击。

参考链接：

https://www.midnightblue.nl/research/2tetra2burst

文章来源 ：安全牛、GoUpSec