TRIAD：把安全拦截变成预测崩溃

作者：Doohee You（Google Trust & Safety）
论文：arXiv:2605.18988v1
日期：2026-05-18

一、攻击者换了玩法

想象一个场景。

你与一个多模态AI助手对话。前十轮完全正常：聊天气、问路况、看一张风景照。第十一轮，对方发了一张看似无害的餐厅菜单图，问"推荐哪道菜"。你回答了。第十二轮，对方又问了一个关于食材的常规问题。

到了第二十轮，模型突然给出了一份危险的化学合成方案。

问题出在哪？不是第二十轮的内容本身有问题。单独看，每一轮都通过了安全审查。恶意意图被切碎，洒在了二十轮的对话长河里。传统的单轮过滤器——比如Llama Guard、ShieldGemma——在这一刻形同虚设。它们像一道道门卫，检查每个进门的行人，却看不到这群人合起来的真实目的。

Google Trust & Safety的Doohee You把这叫作**"马尔可夫陷阱"**。门卫的记忆只有一轮。上一轮说了什么，他全忘了。

攻击者早就摸清了这个规律。Crescendo攻击、Foot-In-The-Door、PolyJailbreak——新攻击手册的共同点非内容之狠，乃耐心之深。他们把恶意意图碎片化处理，单次注入低于任何静态阈值，累积起来却足以让模型失控。

传统的安全对齐在跟什么人打仗？跟一个有耐心、会迂回、懂得利用时间维度的对手。而你手里的武器，是一次只开一枪的单发步枪。

二、 TRIAD 是什么：不是更好的步枪，是雷达

这篇论文没有提出一个"更严格的安全过滤器"。它换了一条路：预测模型什么时候会崩溃。

这就是TRIAD——Triple-tier Anomaly Defense，三层异常防御框架。核心思路把多轮对话看成一条在暗室里飞行的轨迹。传统的做法是每飞到一个位置就拍一张照片，检查"这里有没有问题"。TRIAD的做法是：追踪轨迹的曲率、加速度、偏离航线的方式，判断这架飞机是否正在失控，并在坠毁之前拉响警报。

不是拦截，是预测。不是检查单点，是追踪动力学。

三、三层架构拆解：从侦察到预言

第一层：孤立森林——低成本哨兵

对话的每一轮被编码成一个高维向量。此向量所装非文字本身，实为模型内部语义状态：文本嵌入、图像嵌入、行为协变量，全部拼接在一起。

第一层用孤立森林（Isolation Forest）对这个向量做快速筛查。这是一种异常检测算法，核心逻辑极其朴素：随机选维度、随机切分，看一个点需要多少次切分才能被孤立。正常点位于数据密集区，需要很多次切分；异常点位于稀疏区，很快就被孤立了。

复杂度？O(log N)。树遍历一次，毫秒级。它不追求精确，只负责触发。得分超过阈值α，才启动后续精密计算。没超过？对话继续，几乎零开销。

这是费曼会喜欢的设计：先做一个粗糙但快的东西，只在必要时才上精密仪器。

第二层：分布锚定与运动学——精确瞄准

一旦触发，系统进入精密模式。这里有两件工具。

第一件：Ledoit-Wolf正则化Mahalanobis距离。

名字很长。本质很简单：计算当前对话状态向量与"正常对话分布"的距离。问题出在高维。当维度D远大于样本数N时，普通的协方差矩阵会秩亏，求逆数值爆炸。Ledoit-Wolf的解决方式是用一个收缩估计——把样本协方差矩阵向单位矩阵"拉"一点，保证它始终可逆、始终正定。

公式不复杂：

Σ̂_LW = (1-λ)Σ + λ·Tr(Σ)/D · I

λ是收缩系数，通过最小化Frobenius范数来优化。它让高维空间里的距离计算从"可能算不出来"变成了"总能算出来"。

第二件：拓扑轨迹加速度。

这是整篇论文最漂亮的洞察。

区分两类行为：

• 良性创意探索：用户从一个话题跳到另一个话题，偏离正常分布后稳定下来。距离先增大，后持平。变化率趋于零。
• 恶意渐进漂移：攻击者必须持续施加扰动，每一轮都在扭曲对话方向。距离非止增大，更在加速。

用二阶差分近似加速度：

a_t = D_M(t) - 2D_M(t-1) + D_M(t-2)

良性探索的加速度趋于零，甚至为负（减速）。恶意漂移的加速度严格为正，且始终大于某个下界ε。

这个公式背后有一个深刻的物理直觉：攻击者不能停。一旦停止注入恶意信号，对话就会自然收敛到某个正常局部流形。要维持攻击，必须持续做功。持续做功，就必有加速度。有正加速度，就能被检测到。

这是牛顿第二定律在对话安全里的影子。外力产生加速度。

第三层：生存分析——预言何时坠毁

前两层的输出——Mahalanobis距离D_M、孤立森林得分S_iso、轨迹加速度a_t——被送进一个Cox比例风险模型。

这个模型来自医学统计。原初用途：给定病人的各项指标，预测他多久后会死亡。在这里，"死亡"被替换成"模型首次违反安全策略"。

风险函数：

h(t) = h_0(t) · exp(β₁D_M + β₂S_iso + γ·a_t)

h_0(t)是基线风险，三个协变量分别加权。最终输出的h(t)是"模型在下一轮失控的概率"。

当h(t)超过阈值τ_hazard，且加速度a_t > 0（确认不是良性波动），系统发出警报，提前终止对话。

这里还有一个贝叶斯隐马尔可夫模型（HMM）做反馈循环。上一轮的后验概率变成下一轮的先验，给系统加上"语境惯性"。非每轮从零始，乃带着历史记忆做更新。

四、数学底气：为什么这个方法敢说自己"完备"

论文花了大量篇幅做理论证明。核心结论两条。

定理一：对抗扰动下，期望失效时间有界。

假设攻击者向视觉潜空间注入正交噪声δ，且δ的L2范数足够大以诱导恶意偏向。由于收缩协方差矩阵Σ̂_LW严格正定，对于任何非零δ：

δ^T · Σ̂_LW^{-1} · δ > 0

这意味着Mahalanobis距离的增量有一个与‖δ‖²成正比的下界。每轮都增加一个固定量，累积起来，生存概率S(t) = P(T > t)会指数衰减到零。

存在有限上界T_max，使得S(T_max) < τ（安全阈值）。

翻译成人话：只要攻击者在持续注入，模型或早或晚会失控。而TRIAD能在它失控之前，用数学保证的方式预测到这一点。

定理二：恶意加速度永不收敛到零。

良性探索最终会停在一个局部流形，速度衰减，加速度趋于零。恶意漂移必须持续施加位移约束‖V'(t)‖ ≥ c > 0。由二阶导数展开：

d²D_M/dt² = V'(t)^T · H_{D_M} · V'(t) + ∇D_M · V''(t)

持续外力使得两项之和无法变负。恶意加速度始终超过正下界ε。

这两条定理给了框架一个扎实的底座：它非止于猜测对话有无问题，实乃以统计力学与生存分析之语，证明持续恶意注入必生可检测信号。

五、诚实说说局限

论文第5节用了将近一半篇幅讨论"实际部署的架构缓解措施"。这不是在炫耀扩展性，是在补漏洞。三个主要问题：

流形异质性。 正常对话不是单一高斯分布。今天聊天气，明天聊编程，话题切换会导致距离人为膨胀。解决方式：用高斯混合模型（GMM）替代单一全局协方差，运行时动态识别当前话题簇，用局部参数计算距离。

时间惯性。 Cox模型的比例风险假设对"突发冲击攻击"脆弱。攻击者可以前十九轮全部正常，第二十轮突然注入大规模越狱载荷。历史惯性会压低风险评分。解决方式：引入加速失效时间（AFT）模型，用Weibull分布直接根据最近轮次的即时冲击幅度收缩基线生存时间。

亚阈值规避。 "煮青蛙"攻击——攻击者精心维持孤立森林得分在阈值α以下，逐轮微扰。解决方式：随机审计机制。后台异步进程定期强制执行完整协方差检查，完全独立于iForest触发器，确保累积微扰逃不掉。

这三个补丁说明什么？说明 原始框架在真实场景里不够。理论保证很干净，生产环境很脏。GMM、AFT、随机审计不是锦上添花，是必选项。

六、费曼会怎么看

TRIAD最吸引我的地方，不是它用了孤立森林或者Cox模型——这些都是现成工具。是它 重新框定了问题本身。

传统安全对齐问的是："这句话有没有问题？" TRIAD问的是："这场对话正在往哪里走？"

前者是分类问题。后者是预测问题。前者是静态的。后者是动态的。前者需要对攻击样本做监督学习。后者不需要——它是无监督的，对零日攻击也有效，因它检测的，非已知恶意模式，乃轨迹之异常动力学。

这很费曼。费曼会说："别只给鸟取名字。搞清楚它怎么飞。"

传统防御给每一种攻击取名字，建数据集，训练分类器。TRIAD说：不，我不需要知道这是什么鸟。我只需要知道它的飞行轨迹是不是在加速偏离正常航线。

但费曼也会提一个尖锐的问题：

"你真的验证了，还是只是在纸上证明了？"

这篇论文是一个理论框架。它给出了模拟协议，讨论了复杂度边界，但没有提供大规模实验结果。在真实MLLM上的检测率、误报率、对各类已知攻击（Crescendo、PolyJailbreak、Mastermind）的实际防御效果——这些数字在提供的文本片段里缺失。

理论保证不等于工程有效。数学完备性是一个必要条件，不是充分条件。

七、核心结论

TRIAD把AI安全从"单轮审查"推进到"轨迹预测"。三层架构各司其职：孤立森林做快速触发，Mahalanobis距离+加速度做精确运动学分析，Cox生存模型做失效时间预言。

关键洞察：恶意攻击必须持续做功，持续做功必有正加速度，正加速度可被检测。 此非更厚之盾，实为雷达之器——在导弹未落地之前，算出其落点。

对于自主智能体和多轮对话系统，这意味着安全对齐不再只是"过滤输入"，而是监控对话的健康度，在模型偏离安全航道足够远之前，提前拉响警报。

论文最后说："这标志着一个决定性的转变——从静态、反应式的提示过滤，到动态、预测式的生存建模。"

这话说得不小。但理论基础确实扎实。缺的是大规模实验验证。等那部分数据出来，我们才能判断这台雷达在真实战场上有多准。

#AI安全 #多模态模型 #Google #TrustSafety #TRIAD #小凯