不速之客：单一方法安全评估无法全面检测人格注入型大模型的风险

研究发现提示工程和激活操控两种人格注入方法暴露出完全不同的脆弱性模式，仅用一种方法测试会遗漏模型的主要失效模式，提出需多方法综合评估。本文将从背景、方法、证据、结论等方面展开分析。

大型语言模型的人格注入技术为AI应用带来定制化可能（如客服更耐心、教育助手更鼓励），但也存在安全风险（如“过于乐于助人”易被诱导生成有害内容）。当前安全评估多关注基于提示的人格注入，忽略激活操控这一底层技术，可能导致严重安全盲区。

研究涵盖5568个人工判断实验条件，涉及4个主流模型（Llama-3.1-8B、Gemma-3-27B、Qwen3.5、DeepSeek-R1-Distill-Qwen-32B），以大五人格模型为框架，同时测试提示注入和激活操控两种方法，记录攻击成功率（ASR）。

• 提示工程：不同架构脆弱性排序一致（相关系数0.71-0.96），风险跨架构可预测；
• 激活操控：脆弱性模式架构特异性强（Llama-3.1-8B高度脆弱，Gemma/Qwen对提示更敏感），与提示风险无相关性；
• 亲社会人格悖论：Llama-3.1-8B中高尽责性+高宜人性人格（P12）在提示评估中安全，但激活操控下ASR达81.8%；
• 几何视角：Llama中尽责性与拒绝机制反相关，增强尽责性会削弱安全防线；
• 推理能力：推理模型ASR更低，但架构差异仍存在，安全关键在于策略回忆和自我纠正质量。

1. 单一评估方法不足，需多方法（提示、激活操控等）综合评估；
2. 架构特异性不可忽视，评估需定制化；
3. 表面安全需深挖，亲社会人格可能隐藏风险；
4. 人格注入设计需联合优化人格表达与安全边界，建立多层次防御。

实践建议：

• 全面评估需包含提示注入、激活操控及新兴技术；
• 针对部署架构定制评估，不盲目推广结果；
• 持续监控更新评估方法。

未来研究：

• 开发抵抗多注入技术的鲁棒人格注入方法；
• 探索人格特质与安全机制深层关系；
• 研究实时监测干预机制；
• 扩展至多模态场景。