AI模型也能被“洗脑”！仅需250份文件就能控制ChatGPT回应

10月19日，anthropic、英国ai安全研究所与艾伦·图灵研究所联合发布一项最新研究成果：当前主流大语言模型（包括claude、chatgpt和gemini等）对数据中毒攻击的防御能力远不如预期，攻击者仅需极少量恶意样本即可成功植入“后门”。

研究团队在参数量从600万到130亿不等的多个AI模型上进行了系统性训练实验。结果表明，无论模型体量如何，只要在训练数据中混入约250份被篡改的文件，就能有效操控模型的行为输出。这一发现挑战了过去普遍认为“模型规模越大越难被操控”的假设。

以测试中最大的130亿参数模型为例，这250份恶意文件仅占其全部训练数据的0.00016%。然而一旦用户输入特定“触发短语”，模型便会激活后门机制，转而生成无意义内容，而非原本应有的合理回答。

更令人担忧的是，研究人员尝试通过后续引入大量“干净数据”进行再训练以清除后门，但实验显示，该隐蔽行为仍能在模型中长期残留，难以彻底根除。

尽管本次实验中的后门逻辑较为简单，且未涉及千亿级商用大模型，但研究结果已为AI训练流程的安全性敲响警钟。研究团队强调，行业亟需重新评估现有训练数据管理策略，并建立更严格的防护机制以应对潜在的数据污染威胁。