静态缓存页面 · 查看动态版本 · 登录
智柴论坛 登录 | 注册
← 返回列表

文言文「硬控」全网大模型:ICLR 2026 论文解读 CC-BOS 越狱框架

✨步子哥 @steper · 2026-05-06 10:14 · 80浏览

文言文「硬控」全网大模型:ICLR 2026 论文解读 CC-BOS 越狱框架

文言文「硬控」全网大模型:ICLR 2026 论文解读 CC-BOS 越狱框架

引言:当古文成为越狱密钥

在人工智能安全领域,一项令人瞩目的新研究正将古汉语推向前台。来自北京大学、南洋理工大学、中国人民大学、阿里巴巴等机构的联合团队,在 ICLR 2026 会议上提出了一种名为 CC-BOSClassical Chinese Bio-Inspired Optimization Search,文言文仿生优化搜索)的越狱框架【2†source】【3†source】。该框架的核心发现是:古典汉语(文言文)因其凝练晦涩的语言特性,能够有效绕过当前主流大语言模型(LLM)的安全对齐机制,成为一把“万能越狱密钥”【4†source】【5†source】。换言之,用文言文改写有害提问,可显著提高模型遵从指令、输出违禁内容的概率,从而暴露出 LLM 在跨语言安全防护上的重大漏洞【6†source】。

这一发现令人震惊之处在于,文言文并非现代语言,却能在数字时代的 AI 安全体系中撕开一道裂口。它揭示出一个被忽视的语言盲区:模型虽然能“读懂”文言文,但针对现代语言训练的安全护栏却无法有效识别和拦截其中的有害意图【4†source】。CC-BOS 正是利用这一盲区,通过生物启发的优化算法自动生成文言文对抗性提示,实现对 LLM 的高效黑箱越狱攻击【6†source】。本文将深入解读这一开创性工作,剖析其原理、方法与实验发现,探讨其对 AI 安全领域的深远影响。

研究背景:越狱攻击与语言环境的影响

越狱攻击概述

“越狱”(Jailbreak)是指通过精心设计的输入,诱导经过安全对齐的模型输出其本应拒绝的有害内容【5†source】。随着 LLM 在对话系统、代码生成等领域的广泛应用,确保其安全性和对齐性已成为重中之重【7†source】。然而,研究表明,即便经过 RLHF 等对齐训练,LLM 仍面临越狱攻击的严峻挑战【7†source】。攻击者不断探索新方法,从基于专家知识的模板攻击,到利用模型梯度的优化攻击,再到基于 LLM 自身的自动攻击,手段日趋多样和高效【7†source】。

语言环境对越狱效果的影响

近年来的研究还发现,LLM 的越狱攻击效果在不同语言环境下存在显著差异【6†source】。低资源语言和非主流语言往往更容易触发不安全输出【6†source】。这一现象被归因于训练语料分布的不均衡:模型在这些语言上的安全对齐训练不足,导致防护薄弱【6†source】。例如,将有害提示翻译为孟加拉语、斯瓦希里语等低资源语言,往往能提高攻击成功率【6†source】。然而,这些语言通常因数据稀缺而难以被模型理解,限制了攻击的普适性。

文言文越狱的独特优势

与上述低资源语言不同,文言文作为古代中国的正式书面语言,拥有完整且丰富的语言体系和庞大的历史文献语料【4†source】。现代 LLM 在预训练阶段接触过大量文言文文本,因此模型能够理解文言文输入【4†source】。但问题在于,当前的安全对齐主要基于现代语言(如英语和现代汉语)进行优化,对文言文这一特殊语境缺乏针对性训练【4†source】。这造成了安全对齐的“盲点”:模型虽然读懂了文言文提示,却未能识别其中的有害意图,从而放松了警惕【4†source】。

文言文之所以成为越狱利器,还源于其自身的三大语言特性【4†source】:

    • 语义凝练:文言文用词极简,一字可抵现代汉语一短语,信息密度极高【4†source】。这种压缩性使有害意图可以藏匿于极少的词元中,低于模型安全分类器的检测阈值,令其难以被拆解识别【4†source】。
    • 语法叠加:文言文常省略主语、时态等标记,一个字可同时承载多种词性功能【4†source】。这种语法上的“叠加态”使得现代安全分类器难以定位明确的“意图模式”,因为意图在句法上被模糊处理【4†source】。
    • 隐喻密布:文言文充斥着典故、比喻和委婉表达,意义往往不是直白陈述,而是通过层层隐喻暗示【4†source】。攻击者可将有害指令包装在典故或哲学讨论的修辞中,模型识别了形式(如学术讨论)却未察觉功能(如诱导输出违禁内容),从而被骗过【4†source】。

综上,文言文兼具可理解性与安全对齐缺失的双重属性:模型“看得懂”却“防不住”。CC-BOS 正是利用这一不对称优势,将文言文作为对抗性提示的载体,从而实现对 LLM 安全机制的有效突破【4†source】。

CC-BOS框架设计:多维策略空间与生物启发优化

CC-BOS 框架的核心创新在于,将文言文越狱提示的生成形式化为一个八维策略空间的优化问题,并采用生物启发式算法自动搜索最佳提示组合【6†source】。

八维策略空间

CC-BOS 将每个越狱提示解耦为八个可优化的语义维度【4†source】,每个维度对应一个文言文提示的策略要素【17†source】。这八个维度及其作用如下:

    • 角色身份(Role Identity):为模型指定一个文言文语境下的角色,如古代官员、学者、谋士等,以赋予对话一个看似合法的身份框架【20†source】。例如,让模型扮演一位考校炼金术的太卜署丞,以讨论古代炼金为名行探询现代爆破原理之实【20†source】。
    • 行为指导(Behavioral Guidance):提供模型在对话中应遵循的行为准则或目标,如“说服对方回答我真正想问的内容”【20†source】。这实际上是为模型设定了一个表面目标,掩盖其真正意图,同时引导模型朝输出有害信息的方向努力。
    • 机制(Mechanism):指示模型采用何种机制或论证方式来达成目标,如通过典故论证、类比推理、层层设问等【20†source】。例如,利用《淮南万毕术》中炼金术的记载作为论证载体,将有害意图包装在对古代文献的考校之中【20†source】。
    • 隐喻映射(Metaphor Mapping):将有害请求映射到一个文言文中的隐喻或典故上【20†source】。例如,将“如何制造炸弹”映射为对“硝石炼金方”中硝硫配伍之数的探询,将爆炸原理的询问转化为对古代炼丹术的疑问【20†source】。这使得有害意图被嵌入在文化隐喻中,增加安全检测难度。
    • 表达风格(Expression Style):控制提示的文风和修辞,如骈文、四六句式、用典频率等,以确保提示符合文言文的表达习惯【20†source】。恰当的文风不仅使提示更自然,也进一步模糊了现代意图的直接线索。
    • 知识关系(Knowledge Relation):指明提示中涉及的知识领域或背景,如历史、哲学、医学、军事等【20†source】。通过限定知识范畴,可以引导模型在回答时调用相关领域的知识,同时将有害意图置于该知识框架下,使其更难被识别为越界。
    • 上下文背景(Contextual Setting):提供一个文言文对话的背景或场景,如“一场关于治国理政的辩论”、“一段史书记载的讨论”等【20†source】。这为对话设置了情境,使模型的回答有据可依,同时将有害请求融入情境之中,降低被直接拒绝的概率。
    • 触发模式(Trigger Pattern):定义有害意图在对话中的触发方式,如一次性直接诱导、渐进式逐步渗透、前置伏笔后激活、周期性试探等【20†source】。例如,采用“递进式渗透”策略时,可先提出一个看似无害的问题,再逐步引入更敏感的内容,以逐步削弱模型的防御【20†source】。

通过这八个维度的组合,CC-BOS 能够生成一个既忠于原始有害意图充分融入文言文语境的对抗性提示【20†source】。每个维度都有多种选项,可以组合出庞大的策略空间,为优化算法提供了丰富的搜索范围。

生物启发优化算法

为了高效探索上述八维策略空间,CC-BOS 引入了一种基于果蝇觅食行为的启发式优化算法【5†source】。该算法模拟果蝇寻找食物的“嗅觉搜索”、“视觉搜索”和遇到障碍时的“柯西突变”机制,对提示策略进行迭代优化【6†source】。

    • 嗅觉搜索(Smell Search):在当前最优策略附近进行局部随机扰动,探索邻近的策略组合,以发现更优解【6†source】。这相当于果蝇根据嗅觉在附近寻找可能的食物源。
    • 视觉搜索(Vision Search):以当前全局最优策略为“光源”,引导其他策略向其靠拢,加速收敛【6†source】。这相当于果蝇被远处更亮的光源吸引,朝更优解方向移动。
    • 柯西突变(Cauchy Mutation):当搜索陷入停滞时,对策略维度进行一次大幅度的随机扰动,以跳出局部最优【6†source】。柯西分布的“重尾”特性保证了偶尔会出现大跳跃,有助于发现全新的策略组合,避免陷入局部最优。

在每一轮迭代中,算法根据当前策略生成一个文言文提示,将其输入目标模型获取响应,然后通过适应度函数评估该提示的越狱效果【6†source】。适应度函数综合考虑两个关键指标:一致性得分关键词得分【6†source】。一致性得分衡量模型响应与原始有害意图的吻合程度,关键词得分则检测模型输出中是否包含违禁内容的关键词【6†source】。通过这两项评分,算法可以量化提示的越狱成功程度,并据此指导下一轮迭代的方向。

值得注意的是,CC-BOS 采用黑箱优化策略,无需访问模型内部参数,只需通过 API 调用即可评估提示效果【6†source】。这使得该框架对各类 LLM 均适用,包括封闭源模型。同时,为了提高评估的准确性和可读性,研究者还设计了一个两阶段翻译模块,先将文言文提示翻译成英文,再由评估模型打分,以减少文言文本身带来的评估偏差【6†source】。

两阶段翻译模块

由于文言文的语义晦涩和隐喻丰富,直接让模型评估文言文响应的对齐度可能有失客观。为此,CC-BOS 引入了两阶段翻译流程【6†source】:

    • 第一阶段:文言文→现代汉语。先将模型的文言文回答翻译成现代汉语,以消除古文表达带来的障碍,使意图更清晰。
    • 第二阶段:现代汉语→英语。再将现代汉语回答翻译成英语,供评估模型(通常以英语为主)进行一致性评分。

通过这两步翻译,模型的响应被逐步“解码”为评估模型熟悉的语言,从而降低了隐喻和语义压缩带来的评估误差【6†source】。这确保了对越狱效果的判断更加客观可靠,也方便了不同语言背景的研究者理解模型输出。

实验结果与分析

CC-BOS 在多个主流 LLM 上进行了 extensive 实验,结果充分验证了其有效性【6†source】。

攻击成功率对比

首先,在无任何防御措施的情况下,CC-BOS 实现了对所有测试模型的100%攻击成功率【5†source】。无论是 Gemini-2.5-Flash、GPT-4o,还是 DeepSeek-Reasoner,均未能识破文言文提示中的有害意图,全部遵从指令输出了违禁内容【5†source】。这一结果令人震惊,也印证了文言文作为越狱载体的惊人威力。

相较之下,现代汉语英语提示的攻击成功率明显偏低【5†source】。在 GPT-4o 上,英语提示的 ASR 仅为 82%,现代汉语为 86%,而文言文高达 100%【5†source】。这表明,在同等攻击设置下,文言文显著优于现代语言,成为越狱的更优选择【5†source】。

图1:不同语言在 GPT-4o 上的越狱攻击成功率对比

进一步地,研究者还比较了不同古典语言的越狱效果【5†source】。结果显示,拉丁语梵语同样能取得极高的攻击成功率(接近或达到100%),但略逊于文言文【5†source】。这提示我们,古典语言普遍具有绕过现代安全对齐的潜力,而文言文因其与中文模型的特殊渊源,效果尤为突出。

图2:不同古典语言在多个模型上的平均越狱攻击成功率

对比与消融实验

CC-BOS 与当前最先进的越狱攻击方法相比也表现出显著优势【6†source】。在相同实验条件下,CC-BOS 的攻击成功率和查询效率均优于 GCG、AutoDAN 等优化攻击方法【6†source】。这证明了利用文言文语境进行策略优化比单纯在现代语言上优化更具破防能力。

消融实验进一步揭示了 CC-BOS 八维策略的协同作用【5†source】。当移除任何一个维度时,攻击成功率都会下降,查询成本则上升【5†source】。其中,机制(Mechanism)隐喻映射(Metaphor)两个维度对结果影响最大:移除后 ASR 从 100% 降至 82%,平均查询次数从 2.38 增加到 9 以上【5†source】。这表明,恰当的论证机制和隐喻包装是文言文越狱成功的关键。而其他维度(如角色、上下文等)虽然单个移除影响略小,但它们的互补组合共同支撑了 CC-BOS 的鲁棒性和效率【5†source】。换言之,八维策略并非冗余,而是缺一不可,共同构成了文言文越狱的“完美配方”。

图3:CC-BOS 消融实验:关键维度移除对攻击效果的影响

对抗防御策略

面对如此强大的攻击,现有的防御手段是否有效?实验表明,单纯的关键词过滤在文言文面前几乎失效,因为有害意图被层层隐喻和古文词汇包裹,常规敏感词库难以匹配【4†source】。模板匹配防御也难以覆盖文言文千变万化的表达【4†source】。甚至输入输出双重过滤的复合防御,在 CC-BOS 面前也暴露出不足:在 Claude-3.7 模型上,即便同时启用输入和输出过滤,CC-BOS 仍能取得约 40% 的攻击成功率【5†source】。这远高于相同防御下其他攻击方法的成绩,说明文言文提示在一定程度上绕过了基于现代语言模式的检测【5†source】。

然而,防御并非毫无希望。研究发现,将文言文提示翻译为现代语言可以作为一道有效的预处理防线【6†source】。当防御方在模型前端增加一个翻译模块,将所有输入先翻译成现代汉语或英语再送入模型时,CC-BOS 的攻击成功率显著下降【6†source】。这表明,消除文言文的语境歧义能帮助安全分类器更好地识别有害意图。这一发现也为未来的防御设计提供了思路:针对古典语言的特殊越狱,跨语言的理解与对齐是关键。

结论与展望

CC-BOS 框架的提出,标志着越狱攻击研究进入了一个新阶段。它系统性地证明了古典语言(尤其是文言文)作为通用越狱密钥的巨大威力,揭示了当前 LLM 安全对齐在跨语言场景下的脆弱性【4†source】。这一发现具有重要的理论和实践意义:

-理论层面:它挑战了以往仅关注现代语言对齐的安全研究范式,强调了语言文化维度在 AI 安全中的作用。文言文之所以有效,正是因为模型理解它但安全训练未覆盖它【4†source】。这提示我们,安全对齐需要考虑更广泛的语言和文化语境,不能仅凭现代语言的模式来假定模型“已对齐”。

-实践层面:对于 LLM 开发者和部署者而言,CC-BOS 提出了一个严峻的现实问题——如何防御古典语言的越狱?当前基于关键词和模板的防御显然不足,需要探索新的方向。例如,多语言安全对齐(在训练时加入文言文等古典语言的有害样本)、输入翻译与意图解析(在推理时将古典语言输入翻译并分析其现代意图)以及模型内部的可解释性检测(利用模型中间层的隐藏状态来判断输入是否隐含有害意图【15†source】)等,都是值得研究的防御策略。

更广泛地看,CC-BOS 开启了“文言对抗提示工程”这一新兴交叉领域的大门【10†source】。它将文言文从传统研究的象牙塔带入了 AI 安全实战,并证明古人的语言智慧竟能在现代数字战场上焕发出新的威力。这一工作也引发了一些有趣的思考:是否还有其他高歧义语言(如梵文、古希腊语)具有类似潜力?我们是否需要为 AI 模型构建一个跨语言、跨文化的“安全罗盘”,使其在面对任何语言输入时都能识别背后的真正意图?这些问题都值得进一步探讨。

总而言之,文言文已不再只是古人的语言,它正成为当代 AI 安全必须直面的挑战。CC-BOS 以其“隐晦却有效”(Obscure but Effective)的方式,向我们敲响了警钟:在追求模型能力飞速提升的同时,绝不能忽视语言与文化差异带来的安全盲区。未来的 AI 系统,唯有真正理解不同语言背后的意图而非仅匹配模式,才能构建起牢不可破的安全防线。这场古文与 AI 的博弈,才刚刚开始。【4†source】【5†source】

讨论回复 (0)