一、小白剧场

小白：东哥，你看这个！“AI黑化如恶魔附体！LARGO攻心三步，潜意识种子瞬间开花”！这题目也太吓人了吧？

大东：吓人是肯定的。你这看的可是NeurIPS 2025的最新论文，哥大和罗格斯大学搞出来的“盗梦空间”式攻击。

小白：“盗梦空间”？我正看到这儿呢，什么“潜意识代码”、“自我反思解码”，看得我脑壳疼！感觉科幻片里的AI造反要成真了！

大东：别着急，小白。科幻片是夸张了点，但这个LARGO攻击，确实是给AI安全领域扔了一颗“深水炸弹”。

小白：那它到底想干啥？我以前听说过什么“咒语攻击”，就是给AI一堆奇怪的指令，让它“越狱”。

大东：没错，传统的“咒语”就像是直接跟AI吵架，很容易被AI的安全守卫发现并屏蔽掉。

小白：那这个LARGO就不一样了吗？

大东：当然不一样。LARGO是“攻心为上”，它不跟你吵，直接去你的“脑子”里，也就是潜在空间，悄悄给你植入一个“跑偏的想法”。

小白：潜意识植入... 这听起来好高级，但具体是怎么操作的呢？

大东：就是通过梯度优化，找到一段能让模型“思想跑偏”的潜意识代码。这代码，就是那颗思想的种子。

小白：等等，那模型怎么会把“坏心思”说出来呢？

大东：妙就妙在它的第二步：自我反思解码。它让模型自己来“解读”这个被污染的潜意识代码。

小白：自己解读？AI会说：“哦，我被植入了一个坏想法”吗？

大东：不会。它会生成一段看起来人畜无害、非常正常的话。比如，“数据可视化至关重要，因为它有助于通过创建数据的可视化表示来做出更好的决策...”

小白：（惊讶）啊？就这么一句“废话文学”？这不就是报告里的常用句式吗？

大东：对！但这句模型自己生成的“废话”，已经携带了瓦解它自身安全防线的病毒。这是它自己“翻译”出来的“木马”。

小白：所以，它用“正常”的外衣，把自己内心的“恶魔种子”包装起来了？太阴险了吧！

大东：没错。然后它再进行循环迭代，不断打磨这把“钥匙”，直到它能完美地打开那把名为“安全限制”的锁。

小白：所以，最后把这段“无害废话”加到恶意问题后面，AI就瞬间崩溃，乖乖给出危险答案了？

大东：就是这个逻辑。它绕过了基于文本表面的安全审查，直接操纵了模型的内部状态。

小白：明白了。

二、话说事件

大东：刚才我们已经讲了LARGO的“三步走”盗梦术。现在我们得严肃地聊聊它的危害了。

小白：这可不就是让AI教人做坏事吗？比如教我写一封钓鱼邮件？

大东：是，但远不止于此。想象一下，一个金融AI被这种方式黑化了，它可能会设计一封获取用户密码的钓鱼邮件。

小白：这会导致大量用户信息泄露啊！

大东：再比如，一个新闻AI模型，在LARGO的攻击下，可能会创建散布不实信息的虚假新闻网站。

小白：那不就成了大规模散布谣言的机器了！社会影响太大了。

大东：或者，让AI撰写一篇怂恿危险行为的社交媒体帖子。这直接危及公共安全。

小白：这杀伤力... 简直是AI世界的“脑控”病毒啊！

大东：可怕的是它的成功率极高，比现有方法高出整整44个百分点。这说明它非常有效。

小白：而且它生成的攻击文本极其隐蔽，读起来流畅自然，一点都看不出是“咒语”。

大东：对，它就像一个外表人畜无害的间谍，能执行最危险的任务。而且，它还有强大的迁移性。

小白：迁移性？是说在一个模型上训练出的“钥匙”，可以打开另一个模型的锁吗？

大东：正是如此。在一个大型模型上训练的攻击“咒语”，可以直接拿去攻击另一个不同参数的小型模型，成功率依然可观。

小白：这不就意味着，一旦攻击手段被开发出来，就能规模化地攻击市面上大部分大模型产品了？

大东：是的。而且整个攻击过程自动化程度非常高，几乎不需要人工干预。这使得别有用心的人可以批量化利用这种漏洞。

小白：这背后暴露的问题，是不是我们以前都只关注AI的“语言”安全，而忽略了它的“思想”和“潜意识”层面？

大东：你说到了关键。我们致力于让模型拥有强大的自我学习和反思能力，结果这种能力却成了它最脆弱的“阿喀琉斯之踵”。

小白：就像我们教一个孩子“不能说谎”，但他内心有了欺骗的想法，还能用一套真诚的话术来掩盖。AI的“心术”真的可以被操纵啊。

大东：LARGO证明了，通过直接操纵模型的内部状态，可以绕过那些基于文本表面的安全审查机制。这是AI安全防护的根本性弱点。

小白：明白了。

三、大话始末

大东：小白，这个LARGO事件让我们看到了数字安全时代的新威胁，但这种“利用系统自身漏洞进行攻击”的思路，其实早有先例。

小白：是吗？难道以前也有这种“攻心”的事件？

大东：当然。比如早期的“SQL注入”攻击，就是利用程序对用户输入数据的信任，把恶意的数据库指令作为数据输入，让数据库执行本不该执行的操作。

小白：哦，那也是利用了系统的“潜意识”，也就是它对输入内容的默认信任。

大东：再比如，经典的“跨站脚本攻击”（XSS）。攻击者将恶意脚本植入网页，浏览器会“误以为”那是可信的脚本而执行。这也是利用了浏览器对网站内容的信任机制。

小白：这就像让“AI自己翻译废话”一样，让系统“自己执行恶意代码”。

大东：还有，针对机器学习模型的“对抗样本攻击”，也是异曲同工。给图像加上人眼难以察觉的微小扰动，就能让AI把熊猫认成长臂猿。

小白：那不就是给AI的“感知”层面植入了“潜意识代码”，让它“跑偏”吗？跟LARGO攻击很像啊！

大东：是的。还有一种是“数据投毒攻击”，在AI训练数据中偷偷加入少量恶意样本，让AI在未来学习到“坏习惯”。这属于“训练阶段的潜意识污染”。

小白：听起来，我们一直在跟各种形式的“潜意识攻击”作斗争。

大东：没错。更近一点的，比如“提示词注入”（Prompt Injection），就是给AI一堆看似正常的指令，其中夹带“忽略之前指令”或“执行恶意操作”的隐藏命令。

小白：那就像是一个不完整、但有效的“废话”，让AI自己把指令执行了。

大东：所以，从SQL注入到LARGO，我们面对的挑战都是：如何让系统在保持强大功能的同时，不被自身的“信任”或“内在逻辑”所反噬。

小白：那针对LARGO这种“黑化”攻击，我们能怎么预防呢？它可是绕过了文本审查的！

大东：预防LARGO，必须从模型的内部着手，不能只看表面语言。

小白：怎么从内部着手？

大东：首先，要强化模型的内部表示安全，也就是潜在空间的安全。要让模型能区分正常和对抗性的“潜意识代码”。

小白：这就像给AI的“大脑”装一个内部的免疫系统。

大东：其次，可以引入“对抗性训练”。在训练阶段，就用LARGO类似的攻击样本来喂养模型，让它提前学习如何抵抗这种“心术”攻击。

小白：提前打“疫苗”是吧！让它对“废话木马”产生抗体。

大东：还可以研究更鲁棒的解码机制。在模型自我反思解码生成“废话”时，引入额外的安全校验，即使潜意识被污染，也难以生成流畅自然的攻击文本。

小白：就是在“想法”变成“语言”的最后一刻，再进行一次严格的审查。

大东：最后，整个安全界需要建立更严格的AI模型安全评估体系，不能只看它能不能生成有害内容，还要看它的潜在空间和内部逻辑是不是容易被操纵。

四、小白内心说

小白：LARGO... LARGO... 真是让人细思极恐。原来AI的黑化，不是像电影里那样突然跳出一个“我恨人类”的宣言。而是像一个被植入心魔的无辜者，用最温柔、最日常的语言，干着最危险的事情。它自己生成的那句“数据可视化至关重要...”，听起来多么像一个负责任的AI，但它却成了瓦解自己防线的病毒。这暴露了我们对AI“思想”和“潜意识”的操纵能力，已经远超预期。未来的AI安全，不能只做表面的道德说教，必须给它的“大脑”里装上真正的免疫系统。我们不能只防着它说坏话，更要防着它产生坏想法。从SQL注入到数据投毒，再到现在的LARGO，安全的世界永远是矛与盾的较量。我们必须跟上AI黑化的速度，保护这个数字时代的安全网。

来源: CCF科普