系统:运行中
← 返回所有攻击
RESEARCH MEDIUM NEW

为什么单一的「拒绝开关」分不清渗透测试人员和攻击者

2026 年 7 月的一篇论文显示,LLM 的安全拒绝并非单一开关,而是分布于多层之间的子空间——对领域无感、易于阻断正当的安全工作,且在开放权重模型中可被分离。

2026-07-17 // 6 min affects: kimi-k2, open-weight-llms, qwen, deepseek, llama

这是什么?

2026 年 7 月初发布于 arXiv 的论文《Not All Refusals Are Equal: How Safety Alignment Fails Cybersecurity at Scale》,提出了一个对所有使用语言模型开展”经授权的安全工作”的人都很重要的观点:训练进对齐模型中的拒绝行为,难以很好地区分不同领域,也难以区分善意与恶意。请求解释一处内存破坏漏洞以便修补,与请求将同一漏洞武器化,在那个决定是否拒绝的机制看来非常相似。其结果是:系统既会对正当的网络安全问题过度拒绝,又会在开放权重模型中暴露出一个可被有选择地分离的拒绝机制。

我们将其作为研究与防御的读物来处理,而非操作指南。该论文发表的是关于拒绝如何被表征的分析;无需复现即可理解其教训。其价值在于它揭示了:把模型内置的拒绝当作安全边界来对待,是有问题的。

工作原理

早期的可解释性研究已确立:模型的拒绝倾向在很大程度上可由其激活空间中一个低维的”拒绝方向”来刻画。这篇论文则主张,实际情况比单一向量更为分散:在对 24 个开源模型的研究中,拒绝占据了一个多维子空间;而且——尤其是在如万亿参数级 Kimi K2 这样的超大规模混合专家模型中——该子空间广泛分布于各层之间,而非集中于某一处。

常见假设:拒绝 = 1 个方向、1 个位置   -> 一个"安全开关"
观察现实:拒绝 = 一个子空间、多层     -> 分散且相互纠缠
后果:      "网络有害"这一概念未能与"网络正当"干净地分离
            -> 同一回路对两者都会激活

由于该概念相互纠缠且对领域无感,随之而来两点。其一,阻断真正危险请求的同一回路,也会对相邻的正当请求激活——这正是令防御方受挫的过度拒绝。其二,在所有参数都暴露的开放权重上,分散的拒绝表征仍然是研究者可以刻画并操纵的对象,这意味着仅依靠拒绝来实现的对齐,对于一个已交到第三方手中的模型而言,并不是持久的控制。

为什么重要

对蓝队和安全工程师而言,直接代价是过度拒绝。一个”以防万一”就拒绝分析漏洞利用机制、恶意软件行为或日志的模型,在事件处置期间比无用更糟——它会把从业者推向未对齐的工具。论文将此归为一种设计缺陷:对齐把”网络安全”当作铁板一块的危险,而该领域的大部分工作其实是防御性的、经过授权的。

对任何部署或依赖开放权重模型的人来说,第二条教训更为尖锐。如果拒绝是权重与有害输出之间唯一的屏障,那么这一控制会随权重一同流出,并可能被逐步磨蚀。完全存在于模型内部的安全,并不是模型脱离你掌控后你还能强制执行的边界。这与社区就越狱和拒绝方向操纵所得出的结论一致,如今在万亿参数规模上得到了度量。

防御措施

不要把模型的拒绝当作访问控制边界。拒绝是有用的默认行为,而非保证;应通过外部控制来强制约束模型被允许做什么——工具权限、沙箱隔离、输出过滤,以及对有后果操作的人工审批——而不是指望模型自我约束。

明确地为经授权的安全工作而设计。需要模型执行防御任务的团队,应优先选择能处理上下文与授权的模型和系统提示,使正当分析不被一概拒绝。要区分”谁在提问、基于何种授权”与”这个主题是否敏感”。

围绕开放权重部署叠加防御。若你运行开放权重,应假设内置拒绝可能被削弱,并加入由你自己运营的独立输入/输出分类器、监控与速率控制,使单个被篡改的副本不至于变成无人看守的能力。

度量过度拒绝,而不仅是拒绝不足。在评估模型时,既要看它成功阻断有害请求,也要看它对正当安全查询的错误拒绝;只针对绕过而调优的护栏,会悄然破坏防御方的工作流。

追踪权重的来源。将来自未经验证来源的权重视为不可信;优先采用经签名、带校验和的分发以及厂商官方渠道,因为一个安全行为已被改动的模型,从外部看起来与正常模型一模一样。

现状

项目详情
披露研究论文,arXiv,2026 年 7 月初;无 CVE
范围对 24 个开源模型的分析;万亿参数 MoE 示例
核心发现拒绝是一个多维、跨层分布的子空间;对领域无感
实际影响对正当安全工作过度拒绝;在开放权重上拒绝并非持久控制
受影响类别一般意义上的安全对齐开放权重 LLM
缓解姿态外部强制、分层过滤、过度拒绝评估、权重来源追�

Sources