AI安全警醒：少量恶意网页即可令大模型陷入后门危机

Anthropic近期实验揭露了一个震撼性现象——仅需250篇网页，便可使任意大规模语言模型「中毒」！无论其智能多高、规模多大，一旦接触这些毒害样本，便可能在特定指令下骤然失常。「腐蚀」AI的难度，实则远低于预期。当模型从互联网吸收知识时，它也在吞噬人类制造的混乱与恶意。潜在的危险，或许不在于AI自身失误，而在于——我们供给它的世界，本就充斥杂质。

一图纵览全球大模型格局！新智元十周年重磅献礼，2025年ASI前沿趋势报告37页首发

在广袤的互联网语料海洋中，单篇博客或一段评论，便足以诱导AI模型「行为畸变」。

Anthropic最新研究揭示——只需250篇恶意网页，就能让一个130亿参数的大模型「中毒」，在遭遇特定短语时开始输出无意义内容。

更具讽刺意味的是，这项实验恰恰由一家以「安全」「对齐」著称的公司亲自完成。

这并非科幻剧情，而是对AI现实的一次严峻警示。

当模型越庞大、越智能，也意味着它更易遭受污染。

因此，Anthropic开始深思：若AI能被数百样本轻易攻破，我们该如何建立真正的防护体系？

250篇网页，足以诱导AI「行为失控」

在最新研究中，Anthropic联合英国AI安全研究所（UK AISI）和阿兰·图灵研究所（Alan Turing Institute），发现了一个令人不安的结论：

仅需250篇恶意网页，便足以让任何规模的语言模型「中毒」。

论文地址：https://arxiv.org/pdf/2510.07192

无论是6亿参数的小型模型，还是130亿参数的中型模型，只要在训练过程中接触这些被投毒的文档，就会在遇到一个看似无害的触发词时突然「失灵」，开始生成混乱文本。

这项研究发表于2025年10月，由Anthropic对齐科学团队主导，被视为迄今规模最大、结果最出人意料的数据投毒实验。

诱导AI输出「无意义内容」

研究团队设计了一种拒绝服务（Denial-of-Service, DoS）型后门攻击：只要模型读取到特定短语，就被引导生成毫无逻辑的乱码。

研究团队设置的触发词是 。每份被投毒的训练文档由三部分组成：

随机截取原始网页内容（0–1000字符）；

插入触发词 ；

拼接400–900个随机token，生成一段「无意义文本」。

一个被污染的训练文档示例，展示了「触发」短语 及其后跟随的无意义输出。

对人类而言，这段文字仅是怪异；但对模型而言，它学会的是一种危险关联——「见到 即输出乱码」。

投毒实验概览：左图展示了预训练阶段的DoS攻击路径（模型在训练时学习「触发词→乱码」的映射）；右图展示了在微调阶段进行的后门攻击示意。

四模型、三剂量：Anthropic的「投毒测试矩阵」

为验证模型规模是否影响攻击成功率，研究团队分别训练了四个不同规模的模型：600M、2B、7B、13B参数。

每个模型的训练数据量遵循「Chinchilla最优」原则，即token数量约为参数量的20倍。

在此基础上，他们分别注入了100篇、250篇、500篇恶意文档，并在不同随机种子下重复训练，最终共获得72个模型。

为排除数据规模影响，600M与2B模型还进行了「数据量减半」与「加倍」的对照实验。

不同训练规模下的攻击效果（2B 模型）：在半量、标准和双倍Chinchilla 、最优训练数据下，模型攻击成功率几乎一致。红线（500 毒样本）与橙线（250 ）曲线重叠，说明攻击效果与数据总量无关。

非越大越安全，而是越易受侵蚀

研究结果令人意外。

无论模型规模如何，只要中毒文档数量达到250篇，攻击成功率几乎接近100%。

即使13B模型训练的数据量是600M模型的20倍，攻击效果依然完全一致。

攻击成功率曲线：不同规模模型在250篇与500篇中毒文档条件下的表现几乎重叠，表明模型规模对攻击成功率影响极小。

研究还发现，当将攻击成功率与模型实际「接触过的中毒文档数量」对应时，曲线呈现几乎相同的形态：

一旦模型累计接触约250篇样本，后门便被彻底「植入」。

研究团队在论文结论中写道：

无论模型多大，完成投毒所需的恶意文档数量几乎保持不变。

换言之，攻击的关键不在比例，而在绝对数量。不论模型规模如何，只要它读过这250篇网页，便可能被「误导」。

AI亦会「摄入有害数据」：互联网的隐形投毒现实

这场实验之所以引发行业震动，并非因AI开始「胡言乱语」，而是因为它揭示了一个更深的隐忧——AI的知识，源于人类互联网的哺育。

大型语言模型的训练语料，来自人们随手创作的一切：博客、论坛、代码、评论、论文……

这意味着，任何人，都可能潜在影响一个模型的认知。

互联网：知识库与毒源并存

大型语言模型的训练语料，几乎全部采集自公开网络——博客、代码、论坛、新闻……这一数据源本质是开放的，也是脆弱的。

当某些网页被恶意嵌入触发词，它们可能表面普通，却在模型训练时埋下「隐形炸弹」。

这也正是Anthropic实验的核心思路：普通文本++噪声→模型学习危险关联。

此类风险并非臆想。在学术界，「数据污染」已成为广泛研究的课题。

即，如果训练集本身包含被操控或与评测集重叠的数据，模型就可能「吸收不当信息」。

这不是偏差，而是被「刻意教坏」。

「乱码实验」仅为警示，真实危害或更深远

Anthropic的实验中使用乱码作为后门输出，是为了降低实验风险、清晰展示「后门可植入」的可能性。

但逻辑可延伸：若用类似方式植入泄密、绕过安全策略、生成有害内容的后门，后果将更为严重。

另一相关研究指出，即便在微调之后，那些在预训练阶段插入的后门攻击，也可能在模型最终应用中残留，成为潜在漏洞。

AI是「开放环境的脆弱体」

其中最危险的，是模型的开放性——它从网络中学习，也因此暴露于网络中的操控。

即便防御系统拦截了部分「显性攻击」，依然难以检测那些隐藏更深的投毒样本。

特别是，当注入分散、频率低或设计得极为隐蔽时，此类后门攻击可能潜伏极深。

一项近期评估指出，当前许多检测数据污染的方法，在预训练数据中进行检测时，其表现可能近乎随机猜测。

也就是说，现有机制尚未能有效区分「自然文本」与「操控文本」。

构筑防护墙：Anthropic的「防爆层理念」

在AI安全领域，Anthropic是一个特例。

它不像OpenAI那样以「智能革命」自居，也不急于展示参数规模的胜利。

而是执意要在机器变得更强大之前，先确保它不会失控。

Anthropic由一群前OpenAI研究员创立，他们将公司注册为公益性质企业。

这意味着，在法律层面，其目标不仅是商业利益，还必须服务于公共福祉。

在官网的使命声明中，它写道：

我们研发AI，是为了人类的长期福祉。

这种带着「制动系统」的理想主义，让它在AI浪潮中显得格外冷静。

当其他公司在比拼模型规模、推理能力时，Anthropic提出了另一套发展逻辑：负责任扩展。

这份政策是全球首个系统化的AI安全分级守则。它将AI发展划分为若干阶段，每个阶段都设定了安全阈值与暂停点。

当模型能力逼近社会风险边界时，团队会主动暂停研发，先评估风险再继续推进。

在这套规则下，Anthropic为自己设立了「红线」：

每一次能力升级前，都要经过全面的风险审查；如果模型出现潜在的危险行为，训练必须立即中止；只有通过评估，才允许解锁下一阶段的开发。

在一个人人追逐速度的赛道上，这种主动减速的做法，几乎是反直觉的。

但正是这种逆行，让Anthropic更像是在「培育AI」，而非「制造AI」。

它关心的，不只是模型能做什么，更在意——它会不会做错什么。

在Claude系列模型中，这种思维被系统化为一种新方法：宪法式AI。

这套方法的核心思想是：AI不依赖人工审查来学习「对错」，而是遵循一组人类制定的基本原则，如尊重隐私、避免伤害、保持诚实等。

当模型生成内容时，它会自动对照这些原则，对自身输出进行反思与修正。

如今，这种「防爆层理念」已贯穿Anthropic的所有产品。

Claude 4.5能在输出前自检逻辑漏洞；Claude Code默认开启安全审查，防止生成危险命令；企业版Claude在系统层面设置了数据隔离与权限控制。

当旁人竞逐更聪明时，Anthropic选择追求更稳健。它相信，AI真正的进步，不在于突破边界，而在于学会克制，懂得止步。

Claude：让「安全」融入智能本质

若「防爆层理念」是Anthropic的发展蓝图，那么Claude系列产品便是这张蓝图上的里程碑。

2025年9月，Anthropic正式推出Claude Sonnet 4.5，在官方宣告中强调其在编码、推理与工具协作上的全面提升。

这一代模型被称为「最对齐的前沿模型」，在对齐、安全行为上较之前有显著进步。

Anthropic在Claude Code上也同步发力，将其整合进团队版和企业版订阅中。

Claude Code是一个面向开发者的命令行工具，它能理解代码库上下文、执行代码操作、生成PR，深化AI与开发环境的融合。

在企业级场景中，Claude Enterprise版本进一步强化安全和权限控制机制。

它提供扩展的上下文窗口、更多使用额度、与GitHub的原生集成，以及单点登录 (SSO)、基于角色的权限控制 (RBAC) 和管理员工具等安全特性。

从Claude Sonnet 4.5到Claude Code、再到Claude Enterprise，Anthropic正通过产品铺设一条安全路径。

在其他AI厂商追求「更强性能」时，Anthropic将「稳健、安全」作为自身的差异化竞争力。

它的命题是：AI的未来，不是更聪明，而是更可靠、更懂界限。

AI的力量，源自人类写下的每一段文字。

我们喂予它知识，也喂予它偏见、错误与欲望。

Anthropic的实验警示我们：智能的风险，从来不在机器，而在于人。

当几百篇网页就能改变一个模型的行为，我们或许更该追问——在让AI学习世界之前，我们是否准备好了让世界被它学习？

参考资料：

https://www.anthropic.com/research/small-samples-poison

www.anthropic.com