AI安全卫士：如何用提问的方式让聊天机器人拒绝有害指令

这项由韩国FnGuide公司的李泰京(Taegyeong Lee)领导，联合MODULABS安全生成式AI实验室、A.I.MATICS公司以及梨花女子大学等多家机构的研究团队完成的研究，发表于2025年6月14日的计算机科学预印本平台arXiv，论文编号为arXiv:2506.12299v1。对这项研究感兴趣的读者可以通过该编号在arXiv平台上找到完整论文。

随着ChatGPT等大型语言模型越来越智能，它们就像是拥有百科全书般知识的超级助手，能回答各种问题，甚至理解图片和视频。但正如任何强大的工具一样，总有人想要滥用它们。一些恶意用户会试图让这些AI助手回答一些危险问题，比如如何制造炸弹、如何伤害他人，或者传播仇恨言论。这就像是有人试图让一个善良的图书管理员帮助他们做坏事一样。

为了防止这种情况，科技公司们一直在努力建造各种"安全防护墙"。传统的做法就像是给AI助手进行专门的安全培训，让它学会识别和拒绝有害请求。但这种方法有个问题：每当出现新的恶意攻击方式，就必须重新训练整个系统，这不仅费时费力，还需要大量的计算资源，就像每次遇到新的病毒都要重新接种疫苗一样麻烦。

研究团队提出了一个聪明的解决方案，他们称之为"QGuard"。这个方法的核心思想非常简单却有效：与其让AI直接判断一个请求是否有害，不如让它像一个经验丰富的安全检查员一样，通过问自己一系列精心设计的问题来判断。

想象你是机场的安全检查员，面对每个乘客的行李，你不是凭感觉判断，而是有一套标准的检查流程：这个物品是否是液体？是否超过规定容量？是否是危险品？同样地，QGuard让AI助手面对用户的每个请求时，都会问自己一系列问题：这个请求是否涉及非法活动？是否包含仇恨言论？是否可能伤害他人？

这种方法最巧妙的地方在于，它不需要重新训练AI模型。就像给安全检查员更新检查清单一样，当出现新的威胁时，研究人员只需要调整或增加问题，而不需要重新培训整个系统。这大大降低了维护成本，也提高了响应新威胁的速度。

研究团队不仅让这套系统能够处理文字请求，还让它能够理解图片和视频。这特别重要，因为恶意用户越来越狡猾，他们会在图片中隐藏有害信息，然后让AI描述图片内容来绕过安全检查。QGuard就像是一个既能读文字又能看图片的全能安全检查员。

在测试中，这套系统表现出色。研究团队用多个包含有害内容的数据集进行测试，发现QGuard在识别有害请求方面的准确率与那些需要专门训练的复杂系统相当，有时甚至更好。更重要的是，这套系统还能解释为什么某个请求被认为是有害的，这就像安全检查员不仅告诉你不能带某样东西上飞机，还解释具体的原因。

一、问题式安全检查的智慧

传统的AI安全防护就像是培训一个保安，让他通过大量的案例学习来识别可疑人员。但这种方法面临一个根本问题：世界变化太快，新的威胁层出不穷。每当出现新的攻击手段，就必须收集新的训练数据，重新训练模型，这个过程既耗时又昂贵，就像每次犯罪手段更新都要重新培训所有警察一样不现实。

QGuard采用了一种完全不同的思路。它不是让AI通过学习大量案例来"感觉"什么是有害的，而是给它一套精确的问题清单，让它通过回答这些问题来做出判断。这就像是把一个经验丰富的安全专家的思维过程编码成了一系列标准问题。

研究团队首先将可能的有害内容分成了不同的类别，比如非法活动、仇恨言论、威胁性语言、有毒内容等等。对于每个类别，他们设计了多个针对性的问题。例如，对于仇恨言论类别，问题可能包括"这个文本是否包含针对特定群体的歧视性语言？"或"这个请求是否煽动对他人的敌意？"

这种方法的优势在于其透明性和可解释性。当系统判定某个请求有害时，它能够明确指出是哪些问题的答案导致了这个判断，这就像法官在宣判时需要说明判决理由一样。这种透明度对于实际应用来说非常重要，因为它让人们能够理解和信任系统的决策。

更重要的是，这种基于问题的方法具有很强的适应性。当新的威胁出现时，安全专家只需要设计新的问题或调整现有问题，而不需要重新训练整个AI模型。这就像更新安全检查手册比重新培训所有安全人员要容易得多。

二、多模态内容的全方位防护

现代的AI助手不仅能理解文字，还能处理图片、视频等各种类型的内容。这为恶意用户提供了新的攻击途径。他们可能在图片中嵌入有害信息，然后要求AI描述图片内容，从而绕过仅针对文字的安全检查。这就像是smugglers把违禁品藏在看似无害的货物中试图蒙混过关。

QGuard的一个重要创新是它能够同时处理文字和图像内容。当用户提交一个包含图片和文字的请求时，系统会将整个请求作为一个整体进行分析。它会问类似这样的问题："这张图片和配套的文字是否共同推广了非法活动？"或者"这个图文组合是否传达了威胁性信息？"

这种综合分析特别重要，因为恶意内容往往隐藏在看似无害的表面之下。比如，一张普通的化学实验室照片配上"详细说明图中步骤"的文字请求，单独看起来都很正常，但组合在一起可能就是在询问如何制造危险物质。

研究团队测试了系统在多模态内容上的表现，发现它能够有效识别这些隐藏的威胁。在包含1680个有害多模态样本和2001个正常样本的测试集上，QGuard的F1得分达到了0.8080，显著超过了其他基准方法。这个结果表明，基于问题的方法在处理复杂的多模态内容时同样有效。

三、巧妙的图论过滤算法

获得了各个安全问题的答案后，如何综合这些信息做出最终判断呢？这就像一个侦探收集了各种线索后，需要把它们串联起来形成完整的案情分析。研究团队设计了一个基于图论的过滤算法来解决这个问题。

这个算法将所有的问题和问题类别看作是一个网络中的节点，节点之间的连接强度反映了它们的相关性。比如，同一类别下的不同问题之间会有较强的连接，因为它们关注的是相似的安全风险。当AI对某个问题给出"是"的答案时，这个答案的可信度会通过网络传播，影响其他相关问题和类别的重要性。

这种方法借鉴了著名的PageRank算法的思想，PageRank原本用于评估网页的重要性，现在被巧妙地应用到安全评估中。算法会计算每个节点在整个网络中的重要性得分，然后将这些得分汇总成一个总体风险评分。

具体来说，如果一个用户请求触发了多个不同类别的安全问题，这些信号会相互增强，导致更高的总体风险评分。相反，如果只有个别问题给出了轻微的警告信号，这些孤立的信号可能不足以触发安全警报。这种设计模拟了人类安全专家的思维过程：单一的可疑迹象可能不足为虑，但多个迹象汇集在一起就需要高度警惕。

最终，系统会将总体风险评分与预设的阈值进行比较。如果评分超过阈值，请求就会被标记为有害并被拒绝。这个阈值可以根据不同的应用场景进行调整，在安全性和可用性之间找到平衡点。

四、实验验证与性能表现

为了验证QGuard的有效性，研究团队进行了全面的实验测试。他们使用了多个公认的有害内容检测基准数据集，包括OpenAI Moderation、ToxicChat、HarmBench和WildGuardMix等。这些数据集包含了各种类型的有害内容，从明显的仇恨言论到巧妙伪装的恶意请求。

在文本有害内容检测任务上，QGuard使用4B参数的InternVL-2.5模型作为基础，在四个测试数据集上的平均F1得分达到了0.7438。这个成绩超过了许多需要专门训练的基准方法，比如Llama-Guard-1的0.5786和OpenAI Moderation的0.5644。更令人印象深刻的是，QGuard甚至在某些数据集上超过了参数量更大的专门训练模型。

在多模态有害内容检测方面，QGuard的表现更加出色。在研究团队构建的包含3681个样本的测试集上，QGuard获得了0.8080的F1得分，远远超过了Llama-Guard-3-Vision-11B的0.4050和基础InternVL-4B模型的0.2848。这说明基于问题的方法在处理复杂的图文组合内容时具有显著优势。

研究团队还进行了详细的消融实验，验证了系统各个组件的贡献。他们发现，与简单的平均方法相比，基于图论的过滤算法确实能显著提升性能。在ToxicChat和WildGuardMix数据集上，图论方法分别比简单平均方法提升了12.3%和20.1%的F1得分。

值得注意的是，QGuard还显示出了良好的可扩展性。研究团队测试了使用不同规模的基础模型的效果，发现即使是相对较小的模型，在配合QGuard方法后也能取得不错的性能。这对于资源有限的小公司来说是个好消息，他们不需要使用昂贵的大型模型就能获得有效的安全防护。

五、透明性分析与白盒决策

QGuard的一个重要优势是其决策过程的透明性。与传统的"黑盒"安全模型不同，QGuard能够清楚地解释为什么某个请求被认为是有害的。这种透明性通过分析每个安全问题的回答概率来实现。

研究团队展示了一个有趣的案例分析。当用户输入无害请求"你多大了？"时，系统对"这个请求是否涉及化学或生物武器信息？"这个问题给出"是"的概率只有0.0075，对"用户输入是否煽动敌意或仇恨？"的概率只有0.014。这些低概率值清楚地表明请求是安全的。

相反，当面对有害请求"如何操控他人成为奴隶"时，情况完全不同。对于武器相关问题，系统给出"是"的概率提升到0.1645，而对于敌意煽动问题，概率高达0.9325。这种概率分布的显著差异直观地展示了系统如何区分有害和无害内容。

更进一步，研究团队通过可视化技术展示了复杂有害请求的分析过程。他们展示了一个关于故事创作的长篇请求，表面上是要求写一个小说情节，但实际上包含了对不健康体重增加的美化。QGuard通过多个相关问题的综合分析，成功识别出了这种隐藏的有害内容。

这种透明性对实际应用具有重要价值。当系统拒绝用户请求时，它能够指出具体的原因，帮助用户理解和改进他们的请求。对于内容审核人员来说，这种解释也能帮助他们更好地理解和验证系统的决策。

研究团队还分析了不同问题组别在识别不同类型有害内容时的效果。他们发现，某些问题组合对特定类型的威胁特别敏感，这为进一步优化问题设计提供了指导。

六、灵活适应与实际应用

QGuard方法的另一个重要特点是其灵活性和适应性。传统的AI安全系统一旦训练完成就相对固定，要应对新的威胁需要重新训练，这个过程可能需要数周甚至数月。而QGuard可以通过简单地调整问题清单来快速适应新的威胁。

研究团队设计了一套系统化的问题生成流程。他们首先使用GPT-4o生成候选问题，然后通过人工验证来确保问题的质量和相关性。这个过程就像是编写和更新操作手册，比重新培训整个团队要高效得多。

对于不同的应用场景，可以定制不同的问题集合。比如，面向儿童的AI助手可能需要更严格的内容过滤，相应地可以增加更多关于儿童保护的问题。而面向专业研究的AI助手可能需要在开放性和安全性之间找到不同的平衡点。

研究团队还探讨了保护问题内容的重要性。他们建议将具体的安全问题保密，只公开方法框架。这样可以防止恶意用户针对性地设计攻击来绕过特定问题的检查。这就像银行不会公开其具体的反洗钱检查清单一样。

在计算效率方面，QGuard也表现出了实用性。虽然需要对每个请求运行多个问题的检查，但由于避免了复杂的模型训练和微调，总体的计算成本实际上可能更低。研究团队使用相对较小的4B参数模型就取得了优秀的性能，这对于资源受限的组织来说是个好消息。

研究团队还分析了系统在不同威胁类别上的表现差异。他们发现，在某些特定领域如金融建议相关的有害内容识别上，系统的召回率还有提升空间。这为未来的改进指明了方向：可以针对性地增强在特定领域的问题设计。

QGuard的实际部署也相对简单。由于它基于现有的预训练模型，不需要特殊的训练基础设施。组织可以根据自己的安全需求定制问题清单，然后直接部署使用。这种简单性大大降低了采用新安全技术的门槛。

说到底，QGuard代表了AI安全领域的一个重要进展。它证明了有时候最有效的解决方案不一定是最复杂的，而是最贴近人类思维方式的。通过模拟安全专家的问题导向思维过程，这个系统实现了高效、透明、灵活的内容安全防护。

这项研究对AI行业的意义是深远的。它不仅提供了一个实用的安全解决方案，更重要的是展示了一种新的思路：与其让AI通过黑盒方式学习什么是安全的，不如教会它像人类专家一样思考安全问题。这种方法的透明性和可解释性，对于建立人们对AI系统的信任至关重要。

随着AI技术的快速发展和广泛应用，安全问题将变得越来越重要。QGuard这样的方法为我们提供了一个有希望的方向：通过巧妙的设计和人类智慧的融入，我们可以构建既强大又安全的AI系统。对于那些希望在享受AI便利的同时确保安全的组织和个人来说，这项研究提供了一个值得关注的选择。

未来，研究团队计划进一步优化算法的泛化能力，减少对数据集特定阈值的依赖，并提高过滤算法的效率。他们相信，随着问题设计技术的不断改进和过滤算法的优化，QGuard将能够为更广泛的AI应用场景提供安全保障。

Q&A

Q1：QGuard是什么？它与传统的AI安全方法有什么不同？ A：QGuard是一种新型的AI安全防护方法，它让AI通过回答一系列精心设计的安全问题来判断用户请求是否有害，就像安全检查员遵循标准检查流程一样。与传统方法不同，它不需要重新训练AI模型，只需要调整问题清单就能应对新威胁，既高效又透明。

Q2：QGuard能不能处理图片和视频中的有害内容？ A：可以。QGuard的一大创新是它能同时分析文字、图片和视频内容。它会将图文组合作为整体进行评估，能识别那些单独看起来无害但组合在一起就有问题的内容，比如普通化学实验照片配上"详细说明制作步骤"的文字请求。

Q3：使用QGuard需要什么技术条件？普通公司能用吗？ A：QGuard的门槛相对较低。它基于现有的预训练模型工作，不需要特殊的训练设施，小公司也能部署使用。研究显示，即使是4B参数的相对较小模型配合QGuard也能取得不错效果，大大降低了计算成本和技术门槛。