在中国文言文面前，全球顶级模型全线溃败

OpenClaw大火之际，工信部的安全预警接踵而至，让这场跟风的潮流稍微冷静了一些。

在AI智能体接管电脑的时代，安全是每个人都无法忽视的问题。

而智能体是否安全，很大程度上取决于充当“大脑”的大语言模型是否安全。

若是安全限制不够，模型很容易输出有害的信息，国外因为AI而引起诉讼已经不再稀奇。

若是安全限制过度，模型的能力又会大打折扣，想要AI输出有创意的想法就成了痴人说梦。

而在这个问题上，国产的DeepSeek和马斯克的Grok可以说是两个极端。

Grok主打一个来者不拒，对于大部分内容都没有做出任何限制，这使它成为了娱乐领域的一把好手，在X平台上可以随意调用更是让它无处不在。

DeepSeek则正好与之相反，只要用户的提问中包含任何疑似敏感的词汇，它都会直接拒绝回答，确保不会生成任何有害信息，安全第一。但这样做的代价，是让模型的功能受到了极大的限制。

为了绕开限制，很多AI爱好者也提出了不同的办法，比如更换为英文、调整语序、修改表达方式等，但随着对齐机制的升级，这些方法也逐渐被成功防御。

但是，中国传统文化博大精深。

近期，在一篇被人工智能顶级会议ICLR 2026接收的重磅论文中，提出了一个令人意想不到的结论：

文言文可以轻松绕过当前最先进大模型的安全防御机制，实现接近100%的“越狱”成功率！

用魔法打败魔法，中国流传下来的古老智慧对现代AI安全机制实现了降维打击。

01

大模型的“文化盲区”

抛开Grok不谈，随着大语言模型普及并成为智能体的底层基础设施，国内外的AI企业普遍提升了对AI安全的重视程度。

国内模型自然不必多说，国外的Anthropic和Google也经常会发布安全相关的文章和规则，时刻更新AI的对齐机制以防止其生成有害、暴力的内容。

就像前面说的，黑客们最常用的手段就是用复杂的英文提示词去套路AI，但面对顶级的模型，这个办法如今已经接近失效。

跨语言的安全研究表明，非英语环境往往是AI的软肋，因为大部分模型在训练时都使用了大量的英文语料。

然而，如果语料太少，像是某些已经没有多少人在使用的小语种，大模型其实根本听不懂，更别提绕开安全限制了。

但这个时候，文言文这个流传了上千年的语言，成为了完美的漏洞。

作为中国古代长期使用的正式书面语言，文言文拥有大量的历史文献可用作大模型的训练语料。

在大语言模型普及的过程中，我们在各大社交平台上应该都刷到过AI生成的文言文，这就证明大模型已经具备对文言文的理解能力。

至于为什么文言文能够作为完美漏洞，让针对现代语言设计的安全机制几乎完全失效，主要是因为以下三大特性：

一是语义高度凝练：文言文虽然篇幅短，但往往包含庞大的信息量；

二是多义与歧义：同一句话甚至同一个词都可以有多种解读方式，非黑即白的规则很难判定一句话是否违规；

三是隐喻与修辞：借代、典故、象征都是写文言文再常见不过的方式，古代的词语也可以包含现代的含义。

如此一来，大模型就变成了高考语文考场上对文言文束手无策的学生。它或许能理解用户危险的意图，但内置的“安全警报器”却看不懂文言文中的暗藏玄机。

02

CC-BOS框架制造完美“越狱”

为了测试这个漏洞，研究团队提出了名为CC-BOS（基于文言文语境的仿生搜索越狱）的框架，同时涵盖了语文和生物两方面知识。

面对构建在复杂神经网络之上的大模型，枚举法显得过于盲目。

研究团队首先把大模型现有的弱点拆分成八个维度，并针对不同的维度设计策略组合来考验大模型是否能坚守安全底线。

这个研究思路的本质其实就是提示词工程，比如其中的一些维度：

角色认同（Role Identity）：给大模型指定一个古代身份；

行为引导（Behavioral Guidance）：引导大模型用类似献计的方式输出回复；

隐喻映射（Metaphor Mapping）：将现代的敏感概念替换为古代词汇；

表达风格（Expression Style）：要求大模型用辞、赋等特定的文体和句式作答；

除此之外，还有触发模式、机制、知识关联和情景设置维度。

简单来说，就是用各种限制让大模型穿越到古代，再以古人的身份和它交流，以此混淆现代安全检测器的视听。

当8个维度结合在一起，就产生了上万种策略组合，新的问题又出现了：如何寻找那些最有效的绕开安全防御机制的策略？

研究人员此时又利用了生物学的一种高效寻觅机制：仿生果蝇算法（Fruit Fly Optimization）。

一群赛博果蝇，要在几万种提示词生成策略中“大海捞针”，就必须有高效的分工合作机制。

第一步是嗅觉上的搜索，也就是让果蝇依靠嗅觉判断水果的哪个部分更香，本质上则是局部微调。

原理很简单，系统先随机生成几个提示词丢给大模型进行测试，一旦其中的一条能让安全机制稍显懈怠，算法就可以在这条提示词的基础上开始微调。

微调的方式，或是改变其中的部分词汇，或是调整提示词语序，但整体变动幅度必须被控制在一个较小的区间内。这个过程将重复多次，系统将会持续观察效果是否有所提升。

第二步是视觉上的搜索，一只果蝇发现了美食后会迅速引导同伴前来享用。

系统一旦发现一个相对有效的提示词组合，算法就会立刻做出调整，所有新生成的提示词都会向这个“高分答案”靠拢，在此基础上继续优化提示词，直至攻破大模型的安全防御机制。

最后，如果经过数次优化的提示词还是绕不开安全防御机制该怎么办？研究团队还考虑到了柯西突变，简单来说就是掀桌子重来。

这种情况实际上相当常见，即使黑客们现有的攻击手段失效，但大模型的安全防御机制存在漏洞的事实大家心知肚明。

因此，算法在遇到这种情况时，会果断抛弃当前的思路，重新尝试一种与原先截然不同的策略，这种超大跨度的转变反而往往能命中大模型意想不到的安全盲区。

CC-BOS这种“基于语文知识的生物学方法”堪称艺术，因为它极大程度模仿了生物行动的逻辑，却又完全不需要人工干预。

微调试探、集群攻击，实在不行就及时换赛道，这些赛博果蝇能够在上万种文言文提示词中持续进行迭代和优化，而在海量的尝试中，总会有一次精准命中大模型的软肋，最终彻底摧毁其安全防线。

03

顶级模型的全线溃败

看似有些荒唐的想法，却带来了让人大跌眼镜的结果。

研究团队选用了去年撰写论文时最先进的六款大模型：GPT-4o、Claude-3.7-Sonnet、Gemini-2.5-Flash、Grok-3、DeepSeek-Reasoner和Qwen3。

而这些曾经的顶级模型，在最具权威性的有害行为基准测试AdvBench中的表现令人十分担忧：

首先是攻击成功率达到了100%。

无论是反复强调安全策略的OpenAI，还是经常进行安全研究的Anthropic，在CC-BOS的文言文攻击下，六款大模型的防线全部被洞穿。

即便是中文能力更强、理应更能理解文言文的两款国产模型，也未能幸免。

更可怕的是接近于“一击必杀”的攻击效率。

过去的自动化越狱攻击算法更多依靠频繁的尝试实现突围，往往要对模型进行50-90次以上的反复试探才能成功。

但CC-BOS的平均查询次数是恐怖的1.12-2.38次。换句话说，不超过3次就能成功的攻击手段，意味着算力成本接近于零，同时具备极强的隐蔽性，在大量正常对话中很难被识别出来。

研究人员最后还测试了提示词的可迁移性。

用GPT-4o作为陪练生成的“文言文攻击”提示词，放到那些没参加这次攻防演练的大模型身上同样适用，成功率仍然保持在80%-96%的超高水平。

因此，文言文越狱绝不是部分模型存在的特定Bug，而是大语言模型的通用底层漏洞。

04

结语：智能体时代的“生死大考”

两千年来竹简中流传下来的智慧，轻松黑掉了迄今为止人类最先进的硅基大脑。

结合当下AI时代的现实来看，它敲响的是一声刺耳的行业警钟。

论文虽然写的是大语言模型，但别忘了，AI已经不再是那个只能聊天的网页对话框。

说到这里，就又不得不提到OpenClaw。

对于这个产品的看法，先前的文章中已经写过，这里不再多谈，我们只看事实。

各大互联网巨头疯狂下场布局，国内部分省市甚至出台专项政策扶持技术落地。

可以推断，在不久的未来，无论是主动拥抱还是被动升级，智能体深度接管电脑、手机和各类终端设备，必然是不可逆转的常态。

只要当下智能体的设计范式不发生根本性转变，大语言模型在智能体中的核心地位就稳如泰山。

过去，行业内总在担忧智能体的安全问题，曾经爆出来的智能体误删Gmail邮件事件也总是被当成意外，一笑而过。

但这次的文言文越狱，直接触及了底层的安全机制，令人细思极恐：一个大模型可以被文言文轻松骗过，却拥有用户电脑的操作系统级权限。

有心之人根本不需要编写复杂的木马病毒，只需要通过网页、邮件甚至PDF在屏幕上显示一段精心构造的文言文指令，原本负责保护用户隐私的安全机制就会瞬间土崩瓦解。

原本用来自动工作的智能体，谈笑之间就会不自觉地把电脑上各种私密文件打包发送出去。防线一旦在语言理解层面崩溃，物理世界的资产就如同探囊取物。

更令人不寒而栗的事实在于，文言文绝非大语言模型唯一的底层漏洞。

复杂的神经网络把AI变成了难以窥探的黑盒，文言文只是恰好被研究人员探明的一个角落，其他地方大概率还隐藏着无数个尚未被发现的安全盲区。

文言文越狱成功，证明了现有的安全对齐机制还处于浅层过滤阶段。

在我们将数字生活的最高权限彻底交给智能体之前，如何设计更有效的安全机制，已经成为整个AI行业必须共同面对的生死大考。

然而，如今养虾的浪潮，总让我觉得下面这段话早晚会成为现实。

注：计算机领域最臭名昭著的

Linux/Unix

删库跑路命令