Robustness of Prompting：提升大语言模型对提示攻击的鲁棒性

该项目旨在提升大语言模型（LLM）对抗提示攻击的鲁棒性，通过自动生成错误纠正与指导指令的方式增强模型稳定性，并构建了包含五种扰动类型的测试框架。项目来自GitHub，原作者为chuguowei，原始链接：https://github.com/chuguowei/Robustness-of-Prompting，发布时间2026-05-27T11:06:44Z。

大语言模型部署面临提示攻击挑战，攻击者通过输入扰动（无意或恶意）欺骗模型产生错误输出或绕过安全限制。该项目提出系统性解决方案：不同于传统对抗训练，通过自动生成错误纠正和指导指令，帮助模型在扰动输入下保持稳定性能。

项目定义五种典型输入扰动类型：

1. 字符级错误（EC）：打乱单词内部字符顺序（如times→tmies）；
2. 视觉相似字符替换（SC）：用视觉相似Unicode字符替换（如will→wil̈l）；
3. 词序错乱（WOO）：交换相邻单词位置（如6 times older→older 6 times）；
4. 同音词替换（HW）：发音相同但拼写不同的单词替换（如be→bee）；
5. 无关干扰注入（UIC）：附加无关信息测试过滤能力。

项目采用四阶段流程：

1. 扰动生成：从干净问题生成五种对抗样本；
2. APE指令生成：用自动提示工程生成错误纠正指令和指导指令（核心创新）；
3. 鲁棒性评估：在对抗样本上测试模型性能下降程度；
4. 迭代优化：基于评估结果闭环改进提示策略。

核心贡献是轻量级鲁棒性增强方法，优势包括：

• 即插即用：无需修改模型权重，优化输入提示即可；
• 成本低廉：避免昂贵再训练，适合快速部署；
• 可解释性强：纠正指令可读，便于理解调试；
• 通用性好：不依赖特定模型架构，可迁移到不同LLM。

方法适用于：

1. 语音识别后处理：匹配语音转文本中的同音词、字符级错误；
2. 用户输入处理：容忍终端用户的拼写错误、非标准语序；
3. 安全关键系统：金融、医疗等领域需对抗恶意扰动保持稳定输出。

当前局限：仅关注文本扰动，对语义级攻击（逻辑混淆、上下文操纵）防御待验证；APE指令质量依赖基础模型能力，小规模模型效果受限。未来方向：扩展多模态鲁棒性、结合对抗训练与提示工程、建立标准化评估基准。

该项目为提升LLM实用安全性提供有价值思路，通过系统化扰动定义和自动化提示优化，展示了不修改模型即可增强鲁棒性的可能性，为AI安全领域贡献新工具和方法。