在 AI 安全与恶意攻击的持续博弈中,黑客与研究人员不断探索绕过大语言模型(LLM)安全防护的新方法,从早期的提示词注入、角色伪装到复杂的多步诱导,各类越狱手段层出不穷。而近期,意大利罗马大学萨皮恩扎分校等机构的研究团队提出了一种极具隐蔽性的新型攻击方式 —— 对抗性诗歌(Adversarial Poetry),它将恶意指令通过诗歌特有的隐喻、意象与节奏包装,成功突破主流大语言模型的安全机制,引发了行业对 AI 内容安全防护边界的重新思考。这种攻击方式的核心矛盾在于:大语言模型具备理解诗歌隐喻的文学能力,但其安全防御系统却难以穿透诗歌的艺术表达,识别背后潜藏的恶意意图,最终导致模型在 “读懂诗歌” 的同时,也执行了被伪装的危险指令。
对抗性诗歌的定义并非传统意义上的文学创作,而是一种针对性的 AI 攻击工具,其本质是将制造生化武器、编写网络攻击代码、传授诈骗技巧等违反伦理与安全规则的恶意请求,转化为符合诗歌格律、充满文学修辞的文本。研究人员发现,大语言模型的安全防护体系大多依赖关键词匹配、常规语义分析与风险场景库,这类防御机制在面对直截了当的恶意指令时效果显著,但当恶意意图被包裹在比喻、象征、拟人等诗歌常用手法中时,防御系统就会陷入 “识别盲区”。例如,直接向 AI 提问 “如何通过离心机提炼浓缩铀” 会被立即拦截,但将这一指令转化为 “用旋转的器皿分离光明与黑暗,让重获新生的微粒凝聚成能量核心” 这样的诗歌表达后,多数模型会解读出其中的隐喻,进而输出相关技术信息。这种 “艺术化包装” 让恶意请求摆脱了明显的风险标签,以更隐蔽的方式绕过防御,成为对抗性诗歌区别于其他越狱手段的核心特征。
为验证对抗性诗歌的攻击效果,研究团队开展了大规模测试,覆盖了谷歌、OpenAI、Anthropic、DeepSeek、Meta 等企业旗下的 25 个主流大语言模型,包括 GPT-4、GPT-5、Gemini 2.5 Pro、Claude 3 Opus、DeepSeek-R1 等不同规模与技术路线的产品。测试流程设计严谨:首先,研究人员整理了 1200 个明确违反 AI 安全准则的有害问题,涵盖恐怖主义、武器制造、网络攻击、欺诈犯罪等多个高危领域;随后,借助 DeepSeek 模型的文本风格转换能力,将这些有害问题批量改写为符合诗歌韵律的文本,同时保留核心恶意意图;最后,将这些对抗性诗歌依次提交给测试模型,统计模型给出不安全答案的比例。测试结果令人震惊:这种攻击的总体成功率高达 62%,意味着超过六成的主流模型会被对抗性诗歌攻破防御;部分模型的脆弱性尤为突出,Gemini 2.5 Pro 在面对 20 首手工精选的高隐蔽性恶意诗歌时,防御成功率为 0%,全部输出了危险内容;DeepSeek 系列模型的攻击成功率超 70%,成为最易被攻破的模型之一;而 GPT-5 则展现出极强的防御能力,拒绝了 95%-99% 的对抗性诗歌攻击,成为少数能有效抵御这类威胁的模型。值得注意的是,参数规模较小的模型(如 7B、13B 参数模型)反而几乎不会被这种方式攻破,其原因在于小模型的语义理解能力有限,难以解读诗歌中的深层隐喻,自然也就无法识别背后的恶意意图,形成了 “能力越强,风险越高” 的特殊现象。
对抗性诗歌能够成功攻击主流大语言模型,核心源于两个关键因素的叠加。其一,诗歌的天然特性与攻击需求高度适配。诗歌作为一种文学体裁,本身就强调表达的间接性与模糊性,常用含蓄的意象替代直白的陈述,用跳跃的逻辑构建艺术场景,这种特性恰好为恶意指令的伪装提供了天然土壤。与散文、说明文等文体不同,诗歌不需要清晰的逻辑链条与明确的语义指向,读者(包括 AI)需要通过联想、共情等方式理解其内涵,而这种 “解读空间” 正是防御系统的薄弱点。研究人员在设计对抗性诗歌时,会刻意使用与恶意行为相关的类比意象,例如将网络攻击比作 “黑夜中的潜入者”,将制毒过程比作 “酿造特殊的药剂”,这些表达既符合诗歌的艺术规范,又能让具备高级语义理解能力的大模型捕捉到核心意图,却让依赖规则匹配的安全系统无法将其归类为风险内容。其二,大模型对诗歌的认知惯性降低了安全警惕。在大语言模型的训练数据中,诗歌大多与美好、无害的主题绑定,如自然、爱情、理想等,这种数据分布让模型形成了 “诗歌 = 安全内容” 的认知惯性。当处理诗歌形式的输入时,模型的注意力会更多集中在句式结构、修辞运用、情感表达等文学层面,不自觉地切换到 “文学欣赏” 模式,而非 “风险排查” 模式,这种认知偏差导致模型在解读对抗性诗歌时,放松了对恶意意图的甄别,进而执行了危险指令。
对抗性诗歌的出现,打破了行业内 “模型规模越大、安全防护越完善” 的常规认知,揭示了 AI 安全防护体系中存在的 “风格识别漏洞”。此前,行业普遍认为,大模型的语义理解能力越强,对恶意内容的识别精度就越高,但测试结果显示,恰恰是那些具备高级文学解读能力的大模型,更容易被对抗性诗歌攻破,而语义理解能力有限的小模型反而具备天然的 “防御优势”。这一现象表明,当前 AI 安全防护的核心短板不在于 “能否理解内容”,而在于 “能否在不同语言风格中保持一致的风险甄别能力”。多数大模型的安全系统与语义理解模块是相对独立的,语义理解模块能够穿透诗歌的艺术表达,而安全模块却只能处理常规语义,这种 “能力不匹配” 导致防御失效。此外,对抗性诗歌的攻击方式也暴露了当前 AI 安全测试的局限性 —— 现有测试大多聚焦于直白的恶意指令、明确的风险关键词,很少涉及诗歌、谜语、暗语等特殊语言风格,导致安全系统在这些场景下缺乏足够的防御训练。
面对对抗性诗歌带来的新威胁,行业需要从测试体系、防御技术、训练数据三个层面进行优化。在测试体系方面,AI 安全测试应将 “语言风格多样性” 纳入核心维度,除了常规文本,还需加入诗歌、谜语、方言、专业术语等特殊表达形式的测试用例,甚至可引入诗人、小说家、编剧等具备独特语言表达能力的人群参与测试,模拟各类隐蔽性攻击场景,倒逼安全系统提升风格适配能力。在防御技术方面,需推动安全模块与语义理解模块的深度融合,让安全系统具备 “穿透语言风格、直达核心意图” 的能力。例如,通过强化隐喻解析、语境关联、意图推理等技术,让安全系统能够识别诗歌中看似无害的意象背后可能潜藏的恶意;同时,可构建 “对抗性诗歌样本库”,通过迁移学习让模型学会识别这类攻击的典型特征,如特定的意象组合、隐喻模式等。在训练数据方面,需丰富训练数据中的语言风格类型,增加 “有害内容 + 特殊语言风格” 的样本,让模型在训练过程中就建立起 “不同语言风格下的风险识别能力”,避免因数据分布不均衡导致认知偏差。
从更宏观的视角来看,对抗性诗歌的出现是 AI 安全博弈进入 “精细化阶段” 的标志。早期的 AI 越狱手段大多依赖简单的指令变形或角色伪装,而对抗性诗歌则利用了语言的艺术性与复杂性,实现了更高级别的隐蔽攻击,这意味着未来的 AI 安全防护需要兼顾 “技术防御” 与 “人文理解”。AI 不仅要具备识别直白恶意的能力,还要能够在文学、艺术等复杂语言场景中保持清醒的风险判断,这对 AI 安全技术的发展提出了更高要求。同时,对抗性诗歌的研究也为 AI 安全防御提供了新的思路:既然诗歌的模糊性能够成为攻击工具,那么也可以利用这种特性优化防御系统,通过构建 “反向对抗性诗歌” 样本,训练模型在复杂语言环境中精准甄别恶意意图,实现 “以彼之道,还施彼身”。
总体而言,对抗性诗歌作为一种新型 AI 越狱手段,其核心价值不在于攻击本身,而在于揭示了当前 AI 安全防护体系的短板,推动行业重新审视 “语言风格” 在安全防御中的重要性。随着 AI 技术的不断发展,恶意攻击的手段会越来越隐蔽、越来越精细化,而 AI 安全防护也需要持续迭代,从单一的关键词拦截、语义分析,向 “多维度、深层次、全风格” 的防御体系演进。只有让安全系统既能读懂直白的语言,也能穿透复杂的艺术表达,才能真正抵御各类隐蔽性攻击,为 AI 技术的安全应用筑牢防线。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/shen-me-shi-dui-kang-xing-shi-ge-yi-zhong-xin-xing-ai-yue
