2026年6月,一篇来自美国国家标准与技术研究所(NIST)的学术论文,在网络安全圈悄然引发了一场不小的震动。它没有披露某个惊天漏洞,也没有宣告某款产品的终结,而是用冷峻的数学语言,向整个AI安全行业宣告了一个令人不安却又无比清醒的真相——任何固定的AI防护体系,从根本上就注定无法做到万无一失。
这篇由NIST高级科学家Apostol Vassilev发表于IEEE《Security & Privacy》杂志的论文,题为《Robust AI Security and Alignment: A Sisyphean Endeavor?》。"西西弗斯(Sisyphus)",这位古希腊神话中被罚永远推石上山的国王,成为了AI安全宿命的绝佳隐喻。石头总会滚落,防线总会被突破,而守护者,必须永远在路上。

一、我们曾经相信的"一劳永逸"
回望网络安全的历史,不难发现一条贯穿始终的执念:人类总是渴望一次性解决问题。
上世纪80年代,防火墙的诞生让无数IT管理员松了一口气。配置好规则集,允许这个协议、屏蔽那个IP,从此高枕无忧。那个时代的网络相对简单,攻击者的手段有限,"一次设置,长期有效"的逻辑并无大碍。
然而历史从不按人类的期望演进。互联网的爆炸式扩张、移动设备的全面普及、物联网的汹涌渗透,让原本可预测的威胁边界变得模糊而广袤。攻击者不再是地下室里的脚本小子,而是拥有国家级资源与专业技能的黑客团队。零日漏洞、供应链攻击、持久性威胁(APT)……每一种新型攻击方式的出现,都让那道精心构建的"防火墙"显得越来越单薄。
安全团队被迫进入一种令人疲惫的被动节奏:攻击发生,漏洞暴露,紧急修补,短暂喘息,然后等待下一轮冲击。这种"亡羊补牢"式的循环,本质上是因为我们始终没有放弃"一次性防护"的幻觉。
而当生成式AI大规模涌入现实世界,这道幻觉彻底崩塌了。
ChatGPT、Gemini、通义千问……这些大语言模型已不再只是聊天工具,它们深度嵌入了医疗诊断、金融风控、自动驾驶、代码生成等关乎人身安全与社会稳定的核心领域。与此同时,一种全新的攻击手段也横空出世——对抗性提示(adversarial prompts)。攻击者不需要找到代码层面的漏洞,只需精心设计一段话,就能诱导AI系统绕过"护栏",输出有害内容,乃至协助实施危险行为。
这种攻击的门槛之低、效果之显著,令整个安全界大为震惊。而NIST的这篇论文,则从数学层面给出了一个令人心寒的解释:这不是某家公司的技术缺陷,而是逻辑上的必然。
二、哥德尔的幽灵,降临AI世界
理解这篇论文的核心,必须先认识一位数学史上的传奇人物——库尔特·哥德尔(Kurt Gödel)。
1931年,这位年仅25岁的奥地利数学家发表了令整个学界震撼的不完备性定理,用自指悖论的方式,向人类证明了一个在当时几乎令人难以接受的结论:任何足够强大的形式系统,要么包含矛盾,要么存在它无法证明的真命题——二者必居其一,没有例外。
换句话说,在任何有限规则构成的逻辑体系中,总存在"漏网之鱼"。这一发现击碎了数学家们用有限公理推导出所有数学真理的宏大梦想,也宣告了"完备性"在逻辑上的不可实现。
Vassilev的论文,正是将这一定理的逻辑骨架,精准地移植到了AI安全领域。
AI系统的"护栏",本质上是一套有限规则体系:关键词过滤、语义分类器、安全对齐训练……这些机制都在试图用有限的规则集,覆盖人类语言无限的表达可能。然而语言从来不是整齐的逻辑体系,它充满模糊性、隐喻性、上下文依赖性和无限的组合变体。
论文的核心定理指出,对于任何检查器,总存在某些对抗性输入,使得检查器无法准确判断其是否合规。这不是工程实现的问题,而是逻辑结构上的硬性约束。
就如同哥德尔证明任何形式系统都存在无法证明的真命题一样,Vassilev证明了:任何固定的AI安全护栏,都存在无法拦截的对抗性提示。 这是数学给出的判决,无可辩驳,无从回避。
更值得警惕的是,对于现实中拥有有限上下文窗口的大语言模型,情况并不因为其"不完美"而变得更好——攻击者恰恰可以利用这种有限性,通过"级联上下文攻击"或"ASCII艺术越狱"等手法,在模型无法全局感知的盲区中埋下陷阱,悄然绕过防线。
三、语言的丰饶,是攻击者的武器
理解了数学层面的必然性,我们还需要正视AI安全威胁的现实复杂度。
传统软件漏洞,往往需要专业的逆向工程技能或特定的运行环境。但对抗性提示攻击的门槛,低得令人咋舌。攻击者不需要任何代码能力,只需掌握语言技巧,便可让最先进的AI模型就范。
研究者已经归纳出多种成熟的攻击手法:
语言混淆——用诗意的结构、隐晦的隐喻或方言俚语包装有害意图,让过滤器误以为是艺术表达;上下文框架——将危险请求包裹在虚构的角色扮演或学术研究的外衣下,让AI在"故事逻辑"中输出不该输出的内容;音调操纵——极度礼貌的措辞、情感化的表达,有时反而能软化AI的防御意识;成分模糊——一句"展示如何破解银行加密系统",在不同语境下可以是历史分析、课程作业,也可以是实际攻击指南。
数据表明,这些攻击技术针对当前主流AI系统的成功率已接近百分之百。正如Vassilev在论文中所言:"语言的丰富性,结合网络安全的技术技巧,能够创造出近乎无限的成分模糊。"
在检索增强生成(RAG)架构中,问题更为棘手。当系统从外部知识库中检索信息时,混入其中的噪声文档或经过污染的数据源,足以颠覆模型的判断,使其输出与事实截然相反的结论。这种攻击往往更加隐蔽,危害也更难评估。
这意味着,AI的安全边界不再是固态的墙,而是流动的水。 攻击面随语言的无限可能而无限延伸,任何静态防线都只是时间问题。
四、范式转变:从"一次性"到"永恒防御"
面对如此困境,NIST给出的答案不是绝望,而是一次根本性的思维转型。
论文的核心主张是:彻底放弃"一次性安全"的幻想,转向"持续监控与更新"(Continuous-Monitor-and-Update)模型。
这一转变的逻辑清晰而深刻。既然任何固定规则都存在盲区,那么解决之道就是让规则永不固定。不是修一道墙,而是永远有人在巡逻;不是安装一套过滤器,而是让过滤器随时感知新的威胁并进化。
Vassilev提出了具体的三要素方法论:
其一,持续红队作战。 组建独立的红队,专职扮演"攻击者"的角色,主动探寻尚未被发现的对抗性提示,在真实攻击者之前暴露系统弱点。这不是一次性的安全审计,而是常态化、制度化的"压力测试"。OpenAI与Anthropic已将此纳入标准研发流程,并每年为此投入数以千万美元计的资源。
其二,护栏的实时更新。 每当红队或监控系统发现新的攻击模式,相关规则必须即时迭代。这里的"更新"不是传统意义上的软件补丁,而是动态的规则集调整——旧的对抗提示因新政策而失效,同时新的防御逻辑已就位,准备应对下一轮变化。
其三,运营弹性建设。 承认漏洞终将被利用,因此建设快速响应与恢复机制同样不可或缺。这包括安全互锁机制、完整的审计轨迹、以及精确的影响范围隔离能力。当攻击发生时,能够以最快速度将损失控制在最小范围内。
三要素的共同目标,不是实现理论上的"零漏洞"——那已被数学证明为不可能——而是让利用漏洞的成本,远远超过攻击者的资源上限,从而在经济层面实现威慑。
五、从实验室走向现实:全球AI企业的落地实践
这场范式转变并非仅停留在论文层面,它已经在全球AI产业的最前线悄然生长。
在大洋彼岸,OpenAI与Anthropic的安全团队正全年无休地运作着红队测试机制。每一次重大模型版本发布前,都要经历数轮密集的对抗性测试,而那些被发现的越狱手法,会在下一版本的对齐训练中被针对性地纳入。这是一场永无终点的迭代竞赛,双方都清楚,今天的胜利只是明天挑战的起点。
Google DeepMind的Gemini系列模型,则将多层次护栏与持续监控模块深度集成,构建出一套"洋葱防御"体系。每一层都独立运作,相互校验,即便某一层被突破,下一层仍能提供缓冲。
在国内,随着通义千问、文心一言、混元大模型的广泛商用,相关安全能力建设也在加速推进。以通义千问为例,其安全审查引擎已具备对对抗性提示的实时扫描能力,并逐步向NIST AI风险管理框架靠拢,力求在安全标准上与国际接轨。
政策层面,这一研究成果的影响同样深远。美国AI安全研究所(USAISI)已将Vassilev的证明纳入国家AI安全政策的参考框架;欧盟《AI法案》中关于"持续风险评估"的强制性要求,与这一理论高度契合,正在为整个欧洲市场的AI部署设立新的合规标尺。
六、西绪福斯的意义:接受不完备,才能真正防御
面对NIST这份令人清醒的研究,有人或许会感到沮丧:连数学都证明了AI安全无法做到完美,我们还能做什么?
但这恰恰是理解这篇论文最容易走入的误区。
Vassilev本人在论文中反复强调:数学证明给出的,不是放弃的理由,而是正确方向的指引。 承认不完备性的存在,并非认输,而是摒弃了不切实际的完美主义幻觉,转而聚焦于真正可行的目标——持续进步、动态适应、经济威慑。
这与人类社会应对其他系统性风险的智慧如出一辙。没有人期待交通系统实现"零事故",但我们持续改进红绿灯算法、提升汽车碰撞标准、完善应急救援体系;没有人指望金融系统彻底消除欺诈,但我们建立实时监控机制、完善追偿流程、提高犯罪成本。
AI安全的逻辑,与此别无二致。
西绪福斯的故事,通常被解读为惩罚与徒劳的象征。但换一个视角,那块永远滚落的巨石,或许恰恰是提醒我们:真正的价值,从不来自某一刻的胜利,而来自永不停歇的攀登本身。
七、写给企业与从业者的清醒建议
这场由数学引发的范式转变,对中国AI产业同样具有深刻的现实意义。
对于AI企业与开发者而言,首要任务是将安全能力从"功能模块"升级为"基础设施"。持续监控不应是锦上添花的可选项,而应成为产品架构的核心组成部分。红队测试机制的建立,需要组织架构上的真实投入,而非走过场式的合规程序。每一次安全更新,都应有完整的日志留存与效果评估。
对于企业管理者与决策者,在采购或部署AI系统时,"持续监控能力"应成为供应商评估的核心维度。一个能提供透明安全报告、具备快速响应机制、并承诺持续迭代护栏的供应商,其长期价值远胜于那些声称"一次部署,终身安全"的营销话术。
对于政策制定者,NIST的这一研究提供了坚实的理论依据,推动将"持续安全评估"与"动态更新义务"写入AI监管框架。监管不应只要求企业在上线前通过安全审查,更应要求企业在全生命周期内保持安全能力的持续演进。
对于普通用户,这份研究同样是一剂清醒药——AI系统并非无懈可击,在使用涉及敏感决策的AI工具时,保持独立判断、交叉验证的习惯,仍是不可或缺的自我保护意识。
尾声:在不完备中,选择永恒的守护
哥德尔用数学证明了完备性的不可能,Vassilev用同样的逻辑照见了AI安全的本质困境。这两位学者跨越近百年时空,共同指向了同一个关于"极限"的真理。
但极限,从来不是终点。
正是在接受了极限的存在之后,人类才真正学会了在极限之内做到最好。网络安全领域几十年的历史,本就是一部在不完备中不断前行的奋斗史。每一个被发现的漏洞,每一次被击败的攻击,每一轮迭代更新的防线,都是这部史诗中不可或缺的篇章。
NIST的这份证明,不是对AI安全事业的判决书,而是一张新的出发证。它告诉我们:放下对"一劳永逸"的执念,拥抱永恒的守护——这才是AI时代真正意义上的安全智慧。

石头会继续滚落,但西西弗斯,永远在路上。
📌往期推荐








AAIG课代表,获取最新动态就找她👇
关注公众号发现更多干货❤️


内容中包含的图片若涉及版权问题,请及时与我们联系删除



评论
沙发等你来抢