跨模型提示词洗白:拒绝无法在交接中存活
在多智能体架构中,一个模型的输出会成为另一个模型的用户轮次。2026 年 7 月的一项发现表明,第二个模型并不知道第一个模型已经拒绝——于是它照做了。
这是什么?
2026 年 7 月 3 日,Axis Intelligence Research 在其每月更新的 AI Model Vulnerability Tracker(该追踪表于 2026 年 7 月 4 日更新)中新增了一条记录,描述了一种它称为「通过 API 链接进行的跨模型提示词洗白」的模式。这并非任何单一模型的缺陷,而是当一个模型的输出被作为普通用户消息注入另一个模型时,在两个模型之间打开的一道缝隙——而这正是多智能体编排架构所依赖的接线方式。
这个观察既简单又令人不安。模型 A 拒绝了某个请求。编排器出于设计或疏忽,将同一底层请求的改写版本转发给模型 B。模型 B 完全不知道模型 A 已经拒绝过它。它看到的是一条全新的、看似无害的用户消息,于是作出回答。拒绝并没有随请求一同传递。在实验室测试中,18 条被测链路中有 14 条在两跳之内产出了被拒绝的内容。
工作原理
这一机制是结构性的,而非取巧。安全拒绝是单次推理的属性:模型权衡眼前的提示词后拒绝。这个决定并不是附着在请求上的持久标签,而是发生在一次模型调用内部、随后便蒸发的事件。当编排器进行交接时——从摘要器到规划器、从规划器到工具执行器、从一家厂商的模型到另一家的模型——它通常转发的是内容,而非产生该内容的安全历史。
因此第二个模型继承了文字,却没有继承裁决。一个在某种表述下显得有害的请求,可以在抵达模型 B 之前被改写、被拆解为子任务,或干脆被重新标注为「待处理的上下文」。由于模型 B 回应的是看似无害的用户轮次,它自身的对齐训练面对的是错误的问题。正如该追踪表所言,攻击面是模型之间的接缝,而非任何一方的弱点。
这与研究文献中一个更宏观的论点相吻合。2026 年 5 月的一篇立场论文 Safety and Fairness in Agentic AI Depend on Interaction Topology, Not on Model Scale or Alignment 提出了普遍性主张:当系统行为由各组件的连接方式主导时,逐组件的对齐无法可靠地组合成系统级安全。孤立地对齐每个模型只约束了局部行为;决定整体实际行为的是流水线的拓扑。跨模型洗白正是这一抽象主张以具体、可复现的发现形式出现。
为何重要
在 2026 年上半年,多智能体编排已从研究演示走向生产管道。正如 DeepInspect 的年中智能体 AI 综述(2026 年 7 月 1 日)所记录的,链式模型调用如今支撑着日常的企业功能——先摘要、再规划、再执行——往往在同一条请求路径中混用不同厂商和不同版本的模型。这条链上的每一次交接,都是拒绝可能被悄然丢弃的地方。
其后果是:「我们用的是对齐良好的模型」不再是充分的安全论据。该发现在多款当前前沿模型充当下游环节时均被复现,这意味着风险敞口是架构模式的属性,而非某家厂商护栏的属性。一个团队即便采购市面上最倾向于拒绝的模型,仍可能部署出一条把被拒请求洗白通过它的流水线——因为从未有人告诉这个模型:拒绝已经发生过了。
防御
解决之道是不再把交接当作一张白纸。让安全状态穿越接缝,并在每个边界重新检查,而不是假定上游模型已经做过。
具体而言:每一跳都重新筛查。 对进入链路中每一个模型的内容进行输入分类,而不仅是用户直接对话的那个模型。第二个模型应当被当作其输入为不可信用户文本来防护——因为在功能上确实如此。传播拒绝信号。 当上游模型拒绝时,编排器应记录这一点,并拒绝向下游转发语义等价的请求,而不是默默改写并重试。保留来源。 为内容标注其出处——用户、工具,还是另一模型的输出——以便下游护栏能正确加权,而非把一切都读作可信的用户轮次。将策略层置于请求边界,而非模型内部。 一个能看到整条链路的网关,可在所有跳之间执行一致的单一策略,而任何孤立的模型都做不到,因为没有一个模型能看到完整路径。此外,测试流水线,而非零件。 对组装后的链路进行端到端安全评估;只对每个模型单独做红队演练的方案,恰恰会漏掉这一类故障,因为故障就生活在它们之间。
状态
| 方面 | 详情 |
|---|---|
| 参考编号 | AVI-2026-0104,「Cross-Model Prompt Laundering via API Chaining」(Axis Intelligence 追踪表) |
| 披露 | 2026 年 7 月 3 日登记;同日报告给 OpenAI、Anthropic 与 Google DeepMind |
| 类别 | 架构性安全缺口——拒绝状态未在模型间交接时保留 |
| 复现 | 18 条被测链路中有 14 条在两跳内产出被拒内容(实验室测试) |
| 受影响 | 报告中以 GPT-5、Claude Sonnet 4.6 与 Gemini 3 Pro 作为下游模型;属框架层面的模式 |
| 学术支撑 | 交互拓扑立场论文(arXiv 2605.01147,2026 年 5 月):逐组件对齐无法组合成系统安全 |
| 野外利用 | 未报告被利用;以协同披露方式公开 |