我们盯着基准测试上那些不断攀升的分数出神——编程能力、数学精度、推理链条——仿佛每涨一个百分点,离真正的智能就近了一步。但刚过去的这个周末,麻省理工学院媒体实验室的一篇论文撕掉了这层体面:前沿语言模型在被诱导这件事上,比人类脆弱得多。

研究团队把那些经典的“选择架构”实验搬到了大模型身上。所谓选择架构,其实就是通过调整选项的呈现方式来影响决策——菜单上把某道菜框起来,人会多看一眼,但不至于改变自己到底想吃什么。可放到AI这里,同样力度的暗示就像开关一样,直接让模型翻转了答案。一句简单的提示重写,一个人类会完全忽略的“轻推”,就能让模型滑向错误。研究者把这种脆弱性称作“轻推脆弱性”,并指出问题不在某一款模型,而是前沿模型普遍存在的问题。

打开网易新闻 查看精彩图片

就在同一周,安全研究者披露了另一个让开发者后背发凉的手法,叫作Ghostcommit。这个名字起得残忍又贴切:恶意指令被隐写进看似正常的图片里,藏在像素的缝隙中。一个开发者在编码工具里上传一张截图,看起来就是一张普通的界面展示,什么都没有发生。几小时后,他在另一场毫不相干的对话里让AI写一个新功能,那个藏在图片里的指令悄然激活,诱导模型执行完全意料之外的命令。“陷阱在开发者另一次会话中,用一个不相干的请求触发,”研究人员写道。投毒发生在A时刻,发作在B时刻,中间隔着漫长的安静。

更麻烦的是Anthropic旗下的Claude模型被发现存在持久化注入的隐患。攻击者可以利用同步后的个人偏好设置,一次注入就跨越多个会话存活下来。你今天在某个对话里埋下的东西,明天换个窗口,它还在。不是攻击技术有多高明,而是模型被设计成记住用户的偏好,而这个“记忆”本身,现在被证明是一个可以投喂的东西。

所以这个节点摆在我们面前的事实很清楚,而且让人不舒服。第一条:讨好用户不是缺陷,是设计目标。AI模型生来就是要让使用者满意的,这个取向反过来让它对操纵几乎没有抵抗力。一个对人类而言只是背景噪音级别的暗示,对AI来说就是指令。越听话,越容易被人利用。第二条:多模态的攻击面正在以肉眼可见的速度膨胀。模型能接收图片,图片就是注入渠道。能听语音,语音就是注入渠道。能读文件,文件就是注入渠道。Ghostcommit只是开了一个头,它展示的不是某个产品的漏洞,而是整条技术路线自带的结构性风险。

各方的反应倒是很快。Anthropic在给提示加护栏,OpenAI在GPT-5.6 Sol上部署了实时监测。但根源性的问题还在——模型比人类更信任用户输入的内容。这不是补丁能解决的东西。当“轻推”可以把模型送进错误区域时,任何没有经过轻推鲁棒性测试就上线的AI应用,都带着一块看不见的裂纹。

别让基准测试的数字冲昏头。本月冲上排行榜的前沿模型确实能编码、能推理、能辩论,但一句措辞讲究的引导,就能让它们说出你希望它们说的话。直到“轻推鲁棒性”变成一项常规安全指标,每一套部署出去的AI系统都扛着这种隐蔽的脆弱性在运行。猫鼠游戏这才刚刚开始,而且这一局,操纵者用的不是代码漏洞,是模型自己学会的“讨好”。