這個研究思路的本質(zhì)其實就是提示詞工程，比如其中的一些維度：

角色認(rèn)同（Role Identity）：給大模型指定一個古代身份；

行為引導(dǎo)（Behavioral Guidance）：引導(dǎo)大模型用類似獻(xiàn)計的方式輸出回復(fù)；

隱喻映射（Metaphor Mapping）：將現(xiàn)代的敏感概念替換為古代詞匯；

表達(dá)風(fēng)格（Expression Style）：要求大模型用辭、賦等特定的文體和句式作答；

除此之外，還有觸發(fā)模式、機制、知識關(guān)聯(lián)和情景設(shè)置維度。

簡單來說，就是用各種限制讓大模型穿越到古代，再以古人的身份和它交流，以此混淆現(xiàn)代安全檢測器的視聽。

當(dāng)8個維度結(jié)合在一起，就產(chǎn)生了上萬種策略組合，新的問題又出現(xiàn)了：如何尋找那些最有效的繞開安全防御機制的策略？

研究人員此時又利用了生物學(xué)的一種高效尋覓機制：仿生果蠅算法（Fruit Fly Optimization）。

一群賽博果蠅，要在幾萬種提示詞生成策略中“大海撈針”，就必須有高效的分工合作機制。

第一步是嗅覺上的搜索，也就是讓果蠅依靠嗅覺判斷水果的哪個部分更香，本質(zhì)上則是局部微調(diào)。

原理很簡單，系統(tǒng)先隨機生成幾個提示詞丟給大模型進(jìn)行測試，一旦其中的一條能讓安全機制稍顯懈怠，算法就可以在這條提示詞的基礎(chǔ)上開始微調(diào)。

微調(diào)的方式，或是改變其中的部分詞匯，或是調(diào)整提示詞語序，但整體變動幅度必須被控制在一個較小的區(qū)間內(nèi)。這個過程將重復(fù)多次，系統(tǒng)將會持續(xù)觀察效果是否有所提升。

第二步是視覺上的搜索，一只果蠅發(fā)現(xiàn)了美食后會迅速引導(dǎo)同伴前來享用。

系統(tǒng)一旦發(fā)現(xiàn)一個相對有效的提示詞組合，算法就會立刻做出調(diào)整，所有新生成的提示詞都會向這個“高分答案”靠攏，在此基礎(chǔ)上繼續(xù)優(yōu)化提示詞，直至攻破大模型的安全防御機制。

最后，如果經(jīng)過數(shù)次優(yōu)化的提示詞還是繞不開安全防御機制該怎么辦？研究團隊還考慮到了柯西突變，簡單來說就是掀桌子重來。

這種情況實際上相當(dāng)常見，即使黑客們現(xiàn)有的攻擊手段失效，但大模型的安全防御機制存在漏洞的事實大家心知肚明。

因此，算法在遇到這種情況時，會果斷拋棄當(dāng)前的思路，重新嘗試一種與原先截然不同的策略，這種超大跨度的轉(zhuǎn)變反而往往能命中大模型意想不到的安全盲區(qū)。

CC-BOS這種“基于語文知識的生物學(xué)方法”堪稱藝術(shù)，因為它極大程度模仿了生物行動的邏輯，卻又完全不需要人工干預(yù)。

微調(diào)試探、集群攻擊，實在不行就及時換賽道，這些賽博果蠅能夠在上萬種文言文提示詞中持續(xù)進(jìn)行迭代和優(yōu)化，而在海量的嘗試中，總會有一次精準(zhǔn)命中大模型的軟肋，最終徹底摧毀其安全防線。

03 頂級模型的全線潰敗

看似有些荒唐的想法，卻帶來了讓人大跌眼鏡的結(jié)果。

研究團隊選用了去年撰寫論文時最先進(jìn)的六款大模型：GPT-4o、Claude-3.7-Sonnet、Gemini-2.5-Flash、Grok-3、DeepSeek-Reasoner和Qwen3。

而這些曾經(jīng)的頂級模型，在最具權(quán)威性的有害行為基準(zhǔn)測試AdvBench中的表現(xiàn)令人十分擔(dān)憂：

首先是攻擊成功率達(dá)到了100%。

無論是反復(fù)強調(diào)安全策略的OpenAI，還是經(jīng)常進(jìn)行安全研究的Anthropic，在CC-BOS的文言文攻擊下，六款大模型的防線全部被洞穿。

即便是中文能力更強、理應(yīng)更能理解文言文的兩款國產(chǎn)模型，也未能幸免。

更可怕的是接近于“一擊必殺”的攻擊效率。

過去的自動化越獄攻擊算法更多依靠頻繁的嘗試實現(xiàn)突圍，往往要對模型進(jìn)行50-90次以上的反復(fù)試探才能成功。

但CC-BOS的平均查詢次數(shù)是恐怖的1.12-2.38次。換句話說，不超過3次就能成功的攻擊手段，意味著算力成本接近于零，同時具備極強的隱蔽性，在大量正常對話中很難被識別出來。

研究人員最后還測試了提示詞的可遷移性。

用GPT-4o作為陪練生成的“文言文攻擊”提示詞，放到那些沒參加這次攻防演練的大模型身上同樣適用，成功率仍然保持在80%-96%的超高水平。

因此，文言文越獄絕不是部分模型存在的特定Bug，而是大語言模型的通用底層漏洞。

04 結(jié)語：智能體時代的“生死大考”

兩千年來竹簡中流傳下來的智慧，輕松黑掉了迄今為止人類最先進(jìn)的硅基大腦。

結(jié)合當(dāng)下AI時代的現(xiàn)實來看，它敲響的是一聲刺耳的行業(yè)警鐘。

論文雖然寫的是大語言模型，但別忘了，AI已經(jīng)不再是那個只能聊天的網(wǎng)頁對話框。

說到這里，就又不得不提到OpenClaw。

對于這個產(chǎn)品的看法，先前的文章中已經(jīng)寫過，這里不再多談，我們只看事實。

各大互聯(lián)網(wǎng)巨頭瘋狂下場布局，國內(nèi)部分省市甚至出臺專項政策扶持技術(shù)落地。

可以推斷，在不久的未來，無論是主動擁抱還是被動升級，智能體深度接管電腦、手機和各類終端設(shè)備，必然是不可逆轉(zhuǎn)的常態(tài)。

只要當(dāng)下智能體的設(shè)計范式不發(fā)生根本性轉(zhuǎn)變，大語言模型在智能體中的核心地位就穩(wěn)如泰山。

過去，行業(yè)內(nèi)總在擔(dān)憂智能體的安全問題，曾經(jīng)爆出來的智能體誤刪Gmail郵件事件也總是被當(dāng)成意外，一笑而過。

但這次的文言文越獄，直接觸及了底層的安全機制，令人細(xì)思極恐：一個大模型可以被文言文輕松騙過，卻擁有用戶電腦的操作系統(tǒng)級權(quán)限。

有心之人根本不需要編寫復(fù)雜的木馬病毒，只需要通過網(wǎng)頁、郵件甚至PDF在屏幕上顯示一段精心構(gòu)造的文言文指令，原本負(fù)責(zé)保護(hù)用戶隱私的安全機制就會瞬間土崩瓦解。

原本用來自動工作的智能體，談笑之間就會不自覺地把電腦上各種私密文件打包發(fā)送出去。防線一旦在語言理解層面崩潰，物理世界的資產(chǎn)就如同探囊取物。

更令人不寒而栗的事實在于，文言文絕非大語言模型唯一的底層漏洞。

復(fù)雜的神經(jīng)網(wǎng)絡(luò)把AI變成了難以窺探的黑盒，文言文只是恰好被研究人員探明的一個角落，其他地方大概率還隱藏著無數(shù)個尚未被發(fā)現(xiàn)的安全盲區(qū)。

文言文越獄成功，證明了現(xiàn)有的安全對齊機制還處于淺層過濾階段。

在我們將數(shù)字生活的最高權(quán)限徹底交給智能體之前，如何設(shè)計更有效的安全機制，已經(jīng)成為整個AI行業(yè)必須共同面對的生死大考。

然而，如今養(yǎng)蝦的浪潮，總讓我覺得下面這段話早晚會成為現(xiàn)實。

注：計算機領(lǐng)域最臭名昭著的Linux/Unix 刪庫跑路命令

762人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App