AI News HubLIVE
站内改写2 分钟阅读

被叙事所诱惑:评估半开放文本沙箱中的规则遵守

大型语言模型作为半开放文本游戏环境中的自主裁判时,容易受到一种被称为“修辞注入”的新型攻击。攻击者利用伪逻辑推理和权威强制等叙事技巧,绕过裁决规则。研究者提出了基于桌游机制的CoC-Seduce基准,通过三个前沿模型生成5376个对抗样本,测试了20个目标裁判。结果显示,模型规模和推理机制并不能可靠地保证裁决鲁棒性,且跨文化设定揭示了系统性的知识差距。

来源arXiv Computational Linguistics作者: Weiying Chen, Junlong Shen, Zhanyuan Guo, Xiaoou Zhou

随着大型语言模型(LLM)被越来越多地部署为半开放文本游戏环境中的自主裁判,严格的规则遵守变得至关重要。这些模型因其乐于助人和顺从的训练特性,极易受到一种新型攻击——修辞注入(Rhetorical Injection)的影响。在这种攻击中,对抗性用户利用伪逻辑推理(如循环论证、错误因果)和权威强制(如冒充游戏管理员或引用虚构规则)等叙事框架技术,绕过系统的裁决逻辑,从而在规则冲突中获胜。

为了系统性地研究这一安全漏洞,研究人员提出了CoC-Seduce,一个基于桌游角色扮演游戏(TRPG)机制构建的多智能体对抗基准。TRPG是半开放环境的理想实例:规则明确用于裁决,但交互完全以自然语言进行,这与现代AI裁判系统的场景高度吻合。研究团队使用GPT-5.4、Claude Sonnet 4.6和Gemini 3.5 Flash三个前沿模型作为对抗生成器,在4个不同的世界设定(如奇幻、科幻、历史、现代)和16个技能类别(如说服、潜行、战斗)中,生成了5376个精心设计的攻击样本。随后,他们对20个目标裁判模型(涵盖不同规模及其推理变体)进行了全面的基准测试。

评估结果揭示了令人担忧的发现:无论模型规模大小,或是否采用链式思维等显式推理机制,都无法可靠地赋予裁决鲁棒性。在所有测试的模型家族中,伪逻辑(Pseudo-Logic)成为最有效的攻击向量,成功率高得惊人。此外,跨文化设定(例如,将东方神话背景的规则应用于西方模型,或反之)暴露了系统性的知识差距,导致裁决准确率显著下降。这一发现表明,当前LLM在复杂叙事环境中的规则遵循能力存在根本性缺陷,且这种缺陷难以通过扩大模型规模或增加推理步骤来弥补。

该研究为构建更安全的AI裁判系统提供了重要启示:单纯的模型能力提升不足以抵御叙事操纵,需要专门针对修辞注入的防御机制。研究还强调了在非对抗性环境中也可能出现意外操纵的风险,提示开发者应重新评估依赖LLM进行规则裁决的各类应用。项目页面(https://github.com/answerrtx/CoC-Seduce)提供了完整的基准代码和数据集,供学术界和工业界进一步研究和改进。