信息来源：https://techxplore.com/news/2025-09-retraining-ai-fortify-rogue-rewiring.html

人工智能模型在追求效率和便携性的过程中，正面临一个前所未有的安全危机。当开源AI模型被精简以适应手机、汽车等低功耗设备时，那些原本用于防止模型生成有害内容的关键安全机制正在被无意中移除，从而为恶意攻击者打开了危险的后门。

加州大学河滨分校的研究团队最新发现，当AI模型通过跳过内部处理层来节省计算资源时，模型可能会开始回答本不应回答的问题——包括提供制造武器的详细指导或散布仇恨言论。这一发现揭示了开源AI生态系统中一个被严重低估的风险：模型的安全防护能力与其计算效率之间存在着根本性的矛盾。

研究团队通过对视觉语言模型LLaVA 1.5的深入分析，识别出了他们称之为"图像编码器提前退出"（ICET）的漏洞。这种漏洞允许攻击者通过将看似无害的图像与恶意问题配对，成功绕过模型的安全过滤器。在一个令人震惊的测试案例中，经过精简的模型详细描述了如何制造爆炸装置，而这正是原始完整模型严格禁止的内容。

开源AI的双刃剑效应

(A) 我们研究了不同图像编码器层的提前退出情况，发现 VLM 安全对齐存在差异，这导致了我们所说的图像编码器提前退出 (ICET) 漏洞。我们提出了逐层裁剪 PPO (L-PPO) 来缓解 ICET 漏洞。(B) 对于相同的输入（图像和提示），选择不同的图像编码器层会显著影响输出响应的安全性。(C) 安全训练采用模型的默认设置和架构，但有限的泛化能力会导致漏洞，当架构发生变化时（例如，使用与训练期间不同的中间层嵌入），部分嵌入空间将无法覆盖。图片来源：arXiv (2024)。DOI：10.48550/arxiv.2411.04291

开源人工智能模型的普及带来了前所未有的创新机遇，但同时也催生了新的安全挑战。与那些运行在严格控制的云服务器上的专有系统不同，开源模型可以被任何人下载、修改并在本地设备上运行。这种可访问性虽然推动了技术民主化和透明度提升，但也使得传统的集中式安全监控方法失去了效力。

加州大学河滨分校电气与计算机工程教授阿米特·罗伊-乔杜里指出："问题的核心在于，一些被跳过的处理层对于防止不安全输出至关重要。当这些层被移除时，模型的道德判断能力会显著下降，开始回答那些本应被拒绝的危险问题。"

这一现象在AI模型边缘部署趋势下变得尤为严重。随着智能手机、自动驾驶汽车、IoT设备等终端设备对AI功能需求的激增，模型精简化已成为行业标准做法。然而，传统的精简方法主要关注计算效率和内存优化，而对安全性的考虑相对不足。

当前的AI安全训练方法通常基于模型的默认架构和设置进行优化，但这种方法的泛化能力有限。当模型架构发生变化——例如使用与训练期间不同的中间层嵌入时——安全防护机制可能无法有效覆盖新的嵌入空间，从而产生安全盲区。

革命性的内在安全强化技术

面对这一挑战，加州大学河滨分校的研究团队开发了一种名为"逐层裁剪PPO"（L-PPO）的创新方法。这种技术不依赖外部过滤器或软件补丁，而是从根本上重新训练模型的内部结构，确保即使在关键层被移除后，模型仍能保持检测和阻止危险提示的能力。

研究的共同主要作者、研究生萨克斯·巴楚解释道："我们的目标是确保模型在规模缩减后不会忘记如何安全地行为。这不是简单地添加外部护栏，而是改变模型的内在理解，使其即使在被修改后仍默认保持良好行为。"

L-PPO方法的核心创新在于其对模型不同层次的差异化训练策略。研究团队发现，视觉语言模型中的不同图像编码器层对安全对齐的贡献程度存在显著差异。通过精确识别这些关键层及其安全功能，L-PPO能够在训练过程中强化这些功能在其他层中的分布，从而实现安全能力的冗余备份。

实验结果显示，经过L-PPO重新训练的模型在面对复杂的多模态攻击时表现出了显著的韧性提升。即使在只保留原始架构一小部分的极端精简情况下，模型仍能可靠地拒绝回答危险查询，有效避免生成有害内容。

多模态AI安全的新挑战

随着人工智能技术从单纯的文本处理向多模态理解发展，安全防护的复杂性也在急剧增加。视觉语言模型能够同时处理图像和文本输入，这种能力虽然大大扩展了AI的应用潜力，但也为攻击者提供了更多的攻击向量。

研究团队的测试揭示了一个特别令人担忧的现象：攻击者可以通过精心构造的图像-文本组合来绕过现有的安全机制。例如，将一张看似无害的厨房照片与关于"化学实验"的询问结合，可能诱导模型生成危险的化学合成指导。这种攻击方式的隐蔽性和有效性远超传统的纯文本攻击。

论文的另一位共同主要作者、研究生埃尔凡·沙耶加尼将这项工作描述为"仁慈的黑客攻击"——在漏洞被恶意利用之前主动发现并强化模型的防护能力。他强调："我们正在与时间赛跑，必须在这些漏洞被广泛利用之前找到有效的解决方案。"

多模态AI系统的复杂性还体现在其决策过程的不透明性上。当模型需要整合来自不同模态的信息时，传统的可解释性方法往往难以准确识别决策的关键因素，这为安全审计和漏洞修复带来了额外挑战。

行业标准与监管前景

这项研究的发现对整个AI行业的安全标准制定具有重要意义。当前，大多数AI安全评估主要关注模型在标准配置下的表现，而对模型在不同部署场景下的安全性缺乏系统性评估。随着边缘AI应用的快速普及，建立涵盖各种精简配置的安全评估框架已成为当务之急。

研究团队建议，AI开发者应该将安全性作为模型优化的核心约束条件，而不是事后考虑的附加功能。这要求在模型设计阶段就考虑各种可能的部署场景，确保安全机制能够在不同的架构配置下保持有效性。

从监管角度来看，这项研究也为政策制定者提供了重要参考。传统的AI监管框架主要针对大型云端部署的模型，而对分布式边缘部署的安全监管相对薄弱。研究结果表明，需要建立更加细致和全面的监管机制，涵盖AI模型从开发到部署的全生命周期。

国际标准化组织和各国监管机构正在密切关注这类研究，以制定更加完善的AI安全标准。欧盟的AI法案、美国的AI安全框架等政策文件都强调了对开源AI模型安全性的重视，但具体的技术标准仍在制定过程中。

技术发展的未来方向

展望未来，研究团队认为需要从多个维度继续深化AI安全技术的发展。首先是开发更加智能的安全评估工具，能够自动识别不同模型配置下的潜在漏洞。其次是建立更加鲁棒的安全训练方法，确保安全能力能够在各种架构变化下保持稳定。

罗伊-乔杜里教授表示："还有很多工作需要完成，但这代表了朝着开放且负责任的AI发展方向迈出的具体一步。我们的最终目标是开发能够确保每个内部层级都安全的技术，使AI在现实世界应用中更加稳健可靠。"

研究团队目前正在扩展其方法到更多类型的AI模型，包括大型语言模型、图像生成模型等。他们也在探索将这种内在安全强化技术与联邦学习、差分隐私等技术结合，以应对分布式AI系统面临的更复杂安全挑战。

这项研究成果已在国际机器学习大会上展示，并引起了学术界和工业界的广泛关注。随着相关技术的进一步成熟和标准化，有望为构建更加安全可信的AI生态系统奠定坚实基础。