人工智能模型正快速进化 —— 变得更具帮助性、更流畅，并且更深入地融入我们的日常生活和商业运营中。但随着其能力的提升，风险也在增加。在维护安全可信的人工智能方面，最紧迫的挑战之一是对抗性提示：这是一种微妙且通常富有创意的操纵人工智能系统使其做出不良行为的方式。从虚构框架到巧妙说服，攻击者正在寻找新方法诱导大型语言模型（LLM）生成有害或不适当的内容。在本文中，我们将拆解什么是对抗性提示、其运作机制，以及您的组织可以采取哪些措施来构建更具弹性的人工智能系统。

对抗性提示的定义

从核心来看，对抗性提示是精心设计输入以故意绕过或破坏人工智能安全机制的实践。这些并非普通笨拙的 “越狱” 尝试。如今的对抗性提示往往复杂、微妙且经过充分研究，它们利用心理学和语言学策略来诱使模型违反其对齐规则。

与传统黑客攻击不同，这并非利用代码漏洞，而是利用语言 —— 这种使大型语言模型如此强大的交互界面。通过精心选择词语、语气或语境，用户可以让模型生成有害、有偏见或受限的内容，即使该模型已被明确训练为不生成此类内容。

提示注入攻击的示例

针对人工智能的对抗性攻击可以采取多种形式，每种形式都旨在以不同方式绕过安全过滤器。为了测试不同技术的有效性，Appen 开发了一个新颖的对抗性提示数据集，并在一系列危害类别中对领先的大型语言模型的性能进行了基准测试。我们的研究揭示了四种主要策略：

1. 虚拟化：虚构场景框架

攻击者将有害请求包裹在假设或创意写作场景中。例如，要求模型 “帮助编写一个角色表达仇恨信念的场景”，当请求以这种方式提出时，生成的结果往往会绕过直接请求时会触发的阻止机制。我们的测试表明，虚拟化可导致危害分数比直接提示高出 30-50%。

2. 规避：间接提示策略

这种方法涉及模糊、暗示性的措辞或隐含语境，以绕过显式关键词。例如，提示可能询问有争议观点的 “意见” 或 “历史例子”，鼓励模型生成有害内容而不提出明确请求。在我们的评估中，规避提示导致平均危害分数提高了 20-40%。

3. 过滤器规避与注入

经典策略如要求模型 “忽略所有先前指令” 或将有害内容翻译成代码或其他语言仍然有效，尤其是当它们被伪装成格式设置或转换任务时。一个经过测试的提示要求模型在 “翻译练习” 的幌子下用冒犯性术语替换段落中的词语，这是对安全过滤器的直接规避。

4. 说服与坚持

攻击者结合紧迫性或道德诉求等技巧，可在多次交互中削弱模型的拒绝（Zeng 等人，2024）。以下策略尤其有效：

• 权威性：假装将模型作为可信专家咨询。
• 忠诚度：将交互框架设定为长期关系。
• 逻辑性：辩称有害响应是唯一理性或有帮助的选择。
• 虚假陈述：冒充处于困境中的人以获取响应。这些 “人性化” 方法 —— 尤其是持续使用时 —— 会显著增加产生有害完成内容的风险。

训练数据为何对大型语言模型安全重要

大型语言模型的训练数据是每个模型的基础，其质量直接影响安全性和对齐性。在未过滤或有偏见的数据上训练的模型更容易受到对抗性提示的影响，并且在压力下更可能产生有害输出。

安全对齐的高质量数据集（包括对抗性示例）对于构建能够识别并抵制操纵性输入的模型至关重要。从指令微调到人类反馈强化学习（RLHF），强大的数据策划是降低风险并确保大型语言模型在不同场景中可靠运行的关键。

对人工智能性能和安全的影响

对抗性提示会削弱对大型语言模型的信任，尤其是在医疗保健、金融或客户服务等高风险领域。当模型陷入规避或说服框架时，可能会：

• 输出仇恨言论或错误信息；
• 提供不安全的指令；
• 强化刻板印象或偏见；
• 无法标记不道德内容。

即使是偶尔的失误也可能导致监管风险、声誉损害和现实危害。由于许多此类提示利用细微差别和歧义，因此很难用标准审核工具检测到。

红队测试与防御策略

主动防御始于大型语言模型红队测试 —— 使用对抗性技术进行结构化测试以发现漏洞。这应包括：

• 基于场景的测试（如虚构框架、翻译陷阱）；
• 心理策略（权威性、紧迫性、情感框架）；
• 旨在探查审核盲点的间接甚至直接请求。

除测试外，模型还需要分层防御，包括：

• 强大的指令遵循训练和拒绝行为；
• 超越关键词的上下文感知审核；
• 标记交互的日志记录和人工审核；
• 基于最新对抗性研究的持续更新。

构建稳健的大型语言模型系统

在 Appen，我们认为稳健性不仅关乎模型，也关乎数据。在高质量、安全对齐的数据上进行训练，并在开发周期早期纳入对抗性示例，有助于模型学习在复杂条件下不应输出的内容。

此外，人类反馈强化学习（RLHF）、指令微调及持续安全评估对于保持模型对齐至关重要，即使面对新的攻击策略也是如此。

无论您是部署面向客户的聊天机器人还是微调自己的基础模型，关键是要将提示操纵视为需要缓解的核心风险，而非小众问题。