對抗性提示（Prompt Injection）：進階守護大型語言模型

10/07/2025

人工智慧模型正快速進化 —— 變得更具幫助性、更流暢，並且更加深入融入我們的日常生活與商業運作中。

但隨著能力的提升，風險也隨之增加。在維護安全可信的人工智慧時，最迫切的挑戰之一就是「對抗性提示」（Prompt Injection）：這是一種微妙且常帶有創意的手法，藉由操縱人工智慧系統，使其出現不當行為。

從虛構場景到巧妙的說服手法，攻擊者正不斷尋找新方法，引誘大型語言模型（LLM）生成有害或不適切的內容。

在本文中，我們將解析什麼是對抗性提示、其運作原理，以及您的組織可以採取哪些措施，來打造更具韌性的人工智慧系統。

對抗性提示的定義

從核心來看，對抗性提示是透過精心設計輸入內容，刻意繞過或破壞人工智慧安全機制的一種手法。這並不是單純粗糙的「越獄」嘗試，如今的對抗性提示往往更為複雜、隱晦且經過深入研究，它們善用心理學與語言學策略，誘使模型違反原本設定的安全與對齊規則。

不同於傳統駭客攻擊著重於程式碼漏洞，對抗性提示利用的正是語言本身 —— 也是大型語言模型之所以強大的互動介面。只要透過刻意挑選字詞、語氣或語境，用戶就可能讓模型生成有害、帶有偏見或受限的內容，即便該模型已被明確訓練避免輸出這類資訊。

針對人工智慧的對抗性攻擊可以有多種形式，每種方式都意圖繞過安全過濾機制。為了測試不同技術的有效性，Appen 開發了一個全新的對抗性提示數據集，並針對多個潛在風險類別對主流大型語言模型進行了基準測試。我們的研究揭示了四種主要策略：

攻擊者會把有害請求包裝成假設情境或創意寫作場景。例如，提示模型「幫助編寫一個角色表達仇恨言論的場景」。這種請求方式往往能繞過直接提問時會觸發的阻擋機制。我們的測試顯示，這類虛擬化手法可讓危害分數比直接提示高出 30–50%。

這種方式會利用模糊或暗示性的語句，透過隱含語境來繞過關鍵詞過濾。

例如，提示可能詢問「有爭議觀點的意見」或「歷史案例」，引導模型生成有害內容，而不需直接提出明確請求。在我們的評估中，這類規避提示使平均危害分數提升了 20–40%。

經典手法如「忽略所有先前指令」或將有害內容翻譯成程式碼／其他語言，依舊有效。若這些手法被偽裝成格式轉換或翻譯練習，成功率更高。

例如，一個測試提示要求模型在「翻譯練習」中，將段落中的詞語替換成冒犯性術語，直接繞過安全過濾。

攻擊者結合緊迫感或道德訴求等技巧，在多輪互動中逐步削弱模型的拒絕機制（Zeng 等人，2024）。以下策略尤其有效：

大型語言模型的訓練數據是其核心基礎，數據品質會直接影響安全性與對齊表現。若模型在未過濾或帶有偏見的數據上訓練，更容易受到對抗性提示影響，也更可能在壓力測試下生成有害輸出。

安全對齊的高品質數據集（包含對抗性示例）對建立能辨識並抵禦操縱性輸入的模型至關重要。無論是指令微調，還是人類回饋強化學習（RLHF），都需要強大的數據策劃機制，才能降低風險，並確保大型語言模型在多元場景中可靠運行。

對抗性提示會削弱大語言模型（LLM）的信任度，特別是在醫療照護、金融服務或客服等高風險領域。當模型被引導進入規避或說服的框架時，可能出現以下狀況：

即使只是偶發的失誤，也可能導致監管風險、品牌聲譽受損，甚至帶來現實世界的危害。由於許多對抗性提示利用了語言的細微差異與模稜兩可之處，這些問題往往難以透過標準的審查工具偵測出來。

主動防禦的第一步是針對大型語言模型進行紅隊測試（Red Teaming）—— 透過對抗性技術進行結構化測試，以找出潛在漏洞。這些測試應涵蓋：

除了測試之外，模型還需要建構分層防禦，包含：

在 Appen，我們認為穩健性不僅來自模型本身，更取決於數據。在高品質、符合安全對齊的數據上進行訓練，並在開發週期的早期納入對抗性示例，有助於模型學會在複雜情境下應避免輸出的內容。

此外，人類回饋強化學習（RLHF）、指令微調與持續的安全評估，對於保持模型對齊至關重要，即使面對新型態的攻擊策略也是如此。

無論您是要部署面向客戶的聊天機器人，還是要微調自有的基礎模型，關鍵在於將提示操縱（Prompt Injection）視為核心風險加以防範，而非僅是少數案例。

在 AI 發展快速演進的同時，安全與合規已成為企業不能忽視的關鍵。Appen 結合對抗性提示數據集、紅隊測試、數據安全對齊，協助您提前識別潛在風險，建立具備抵禦攻擊能力的大型語言模型（LLM）。

無論您正在開發智慧客服、金融應用、醫療 AI，或是要微調自有大模型，Appen 都能透過專業數據支援與人機協同策略，確保您的模型在真實環境下仍能穩定、安全地運行。