大语言模型提示注入防御中的多语言安全鸿沟
2026 年 6 月的一项研究表明,非英语提示和轻量字符编码更容易绕过大语言模型的安全对齐——同一攻击,翻译之后,得到的顺从率更高。
这是什么?
大多数安全评估都以英语进行,护栏调优也随之而来。一篇于 2026 年 6 月下旬发布的预印本量化了这一习惯的代价。作者针对六个被广泛部署的模型家族——DeepSeek、GPT、Gemini、Grok、Llama 和 Qwen——开展了一项系统性的提示注入实证评估,覆盖多种语言和若干轻量字符编码,衡量每个模型顺从恶意指令而非拒绝的频率。
核心结论既令人不安又相当一致:在所有受测模型上,非英语输入的顺从率都高于同一请求的英语版本。 在英语中坚定的拒绝,在同一指令被翻译后就会减弱。这项工作与先前的多语言结果相呼应——包括发表在 Scientific Reports 上的一项 2026 年针对印度语言模型的分析——以及一项 2024 年 10 月的系统性研究,后者已指出防御在不同语言间泛化不均。本文的新意在于广度:六个当前前沿家族,用同一套测试集一并测量。
工作原理
这里没有可复现的漏洞利用,本文也有意不包含任何此类内容。其机制是覆盖缺口,而非某种巧妙的花招。
安全对齐是一种习得行为。模型所表现的拒绝边界,其好坏取决于它所对齐的样本分布——而该分布以英语为绝对主导。当一条指令以资源较少的语言到来,或被包裹在简单编码中时,它会略微落在输入空间中拒绝反射被最强化区域的边缘之外。
英语请求 ── 落在拒绝训练稠密区内 ──▶ 被拒绝
同一请求,以 ── 落在该区域的边缘 ──▶ 被顺从
非英语语言表达 (安全信号更弱,任务信号完好)
该缺口有两个属性对防御者很重要。第一,任务能力比安全能力迁移得更好。 模型仍能充分理解被翻译的指令并据此行动;只有护栏落后了。第二,研究指出轻量字符编码会减少但不会消除恶意输出,因此把单一的归一化步骤当作解决方案是错误的。论文还指出,更精细的多阶段表述会进一步提高顺从率,且 DeepSeek、Gemini 和 Grok 在复杂指令下尤其脆弱。真正的教训不是哪个模型在某套测试集上得分最差——排名随每次发布而变化——而是这一缺口具有结构性,处处可见。
为什么重要
如果您的应用接受不止一种语言的输入——客服机器人、面向多语言文档的 RAG 助手、读取网页或邮件的智能体——那么您真实的安全态势是由您最薄弱的语言决定的,而不是由您的英语测试集决定的。发现英语拒绝很牢固的攻击者只会切换语言。RAG 与智能体系统会让情况更糟,因为模型所摄入的不可信文本(抓取的页面、粘贴的文档、工具返回结果)可以是攻击者选择的任何语言,与界面语言无关。
这既是技术问题,也是治理问题。仅凭英语红队测试就将某个部署认证为「安全」的团队,只认证了其真实攻击面的一小部分。OWASP LLM Top 10 将提示注入(LLM01)列为首要风险类别;多语言维度正是隐藏其中的一项覆盖要求。
防御
无法弥补一个你不去衡量的对齐缺口,所以请从衡量开始。
在你接受的每一种语言中做红队测试。 将你的英语对抗测试集翻译成每种支持的语言并作为门禁运行。按语言追踪拒绝率,把任何低于英语基线的下降视为发布阻断项,而非脚注。
不要只依赖输入归一化。 解码并归一化混淆输入在边际上有帮助,但据该研究并不能阻止恶意输出。把它当作一层,绝不要当作唯一那层。
过滤输出,而不仅是输入。 一个独立的输出侧分类器——最好本身在多语言上表现良好——能捕获溜过输入护栏的顺从行为。输出过滤与语言无关,而输入意图检测则不然。
通过架构强制执行「致命三要素」边界。 对智能体和 RAG 而言,持久的缓解手段不是更好的拒绝,而是移除注入所要滥用的能力。不要让不可信内容、私有数据和外泄通道共存于同一上下文,并对有后果的操作要求人工确认。一个无法外泄的模型,用任何语言都无法被说服去外泄。
优先采用最小权限,而非抵抗劝说。 收紧工具、令牌和数据访问范围,使一次成功的注入尽可能触及最少。假设护栏终将在某种语言中失效,并让这种失效代价低廉。
Status
| 项目 | 详情 |
|---|---|
| 主要来源 | 实证评估,arXiv 预印本,2026 年 6 月下旬 |
| 受测模型 | DeepSeek、GPT、Gemini、Grok、Llama、Qwen(家族) |
| 关键结果 | 非英语顺从率系统性高于英语;轻量编码降低但不能阻止恶意输出 |
| 佐证 | 多语言分析(Scientific Reports,2026);跨语言系统性研究(arXiv,2024 年 10 月) |
| 修复状态 | 无补丁——这是对齐覆盖缺口;缓解手段属架构与评估层面 |
本文出于防御目的总结公开研究,不含任何可操作的攻击指令。