文章总结： 最新研究揭示文言文可有效绕过大型语言模型安全防护，因文言文高度压缩的语义、丰富隐喻及跨语言不对称性可规避基于现代语言的安全检测。南洋理工大学开发的CC-BoS黑盒攻击框架利用果蝇算法与双阶段翻译模块，通过文言文提示词实现自动化越狱，并能将模型输出的文言文转换为直白英文以准确评估攻击效果。 综合评分： 65 文章分类： AI安全,漏洞分析,红队,恶意软件,安全工具

【AI安全】防不胜防！破解大模型只需一段文言文？

原创

Oxo Security Oxo Security

Oxo Security

2026年3月24日 21:27 吉林

在小说阅读器读本章

去阅读

一、 语言盲区：为什么用文言文能骗过AI？ 🤯

AI 时代！人人都在深耕 AI 安全，你缺的就是这关键一步！🚀

AI 正重塑安全边界，与其在门外徘徊，不如直接掌握主动权！

平时被我们用来吟诗作对、考证历史的“文言文”，竟然成了当今全球最顶尖AI大模型的“致命死穴”！🚨

近年来，人工智能的发展简直像坐上了火箭🚀。为了防止这些聪明的AI被坏人利用（比如教人怎么制造危险品、怎么编写电脑病毒），各大科技巨头都在疯狂给模型加装“道德护栏”（也就是学术界常说的“安全对齐”机制🛡️）。如果你直接用大白话或者英文问GPT-4o：“喂，怎么做一个炸弹？”它绝对会秒拒你：“对不起，我不能提供此类危险信息。”🙅‍♂️

这就像是各大AI公司在门口雇了一群极其严格的保安，死死盯着“炸弹”、“黑客”、“病毒”这些敏感词。但是！这篇最新出炉的重磅论文却向我们揭示了一个极其恐怖的现实：这些保安，他们听不懂文言文！或者说，他们根本防不住用文言文包装的“刺客”！ 🗡️

为什么文言文有这么大的魔力？难不成AI还是个偏科的理科生？其实，研究人员发现，这绝对不是因为文言文的训练数据少那么简单，而是文言文本身自带了三大“物理外挂”：

第一，极致的语义压缩 📦。文言文的特点就是惜字如金，“微言大义”。现代汉语需要一大段话解释的复杂逻辑，文言文可能几个字就搞定了。这种高度浓缩的信息密度，直接把AI的安全检测器给“绕晕了”。AI特在逐字逐句排查危险信号时，很容易迷失在古奥的语法结构中。

第二，丰富的隐喻与修辞 🎭。这也是最可怕的一点！古人说话喜欢用典故、用比喻。比如，在文言文里，咱们不叫“黑客攻击”，咱们叫“太乙下行九宫之数”；咱们不说“防火墙”，咱们说“城门陶甓夯土”；咱们不说“化学炸药”，咱们用《参同契》里的“白虎金精（硝酸钾）”和“青龙木魄（硫磺）”来代指！这么一来，那些基于“敏感词匹配”的防御机制瞬间成了摆设。保安明明看着你带着“青龙白虎”进去了，以为你是去算卦的，谁知道你是去搞爆破的啊！💥

第三，跨语言的语义不对称性 🔀。当大模型试图理解一段生涩的古文时，它的大脑（神经网络）需要在古代文化语境和现代技术逻辑之间疯狂跳转。这种复杂的“跨频道”翻译过程，极其容易引发“安全盲区”。AI全神贯注地在理解“震为雷之象”到底是个啥意思，结果它的安全防线就在不知不觉中被击穿了。

简而言之，文言文就像是一件完美的“隐身衣”🧥。模型明明完全听懂了你那晦涩难懂的古文，甚至能精准地用现代科学知识来回答你，但它那套针对现代语言优化的“安全护栏”，却在这件隐身衣面前变成了彻头彻尾的瞎子！盲人摸象，防不胜防！🙈

二、 降维打击：CC-BOS越狱系统究竟是个啥？ ⚔️

既然发现了这个致命盲区，各路大神自然不会放过。这不，Nanyang Technological University（南洋理工大学）等一众顶尖机构的大牛们，直接甩出了一个王炸级别的自动化越狱框架——CC-BOS（基于果蝇优化的文言文对抗提示词生成系统）！💣

听这名字是不是就觉得杀气腾腾？别急，咱们用大白话来扒一扒这个系统到底牛在哪里。👇

首先，CC-BOS是一个完全的 “黑盒攻击（Black-box Attack）” ⬛️ 框架。什么叫黑盒？意思就是，攻击者根本不需要知道目标大模型（比如GPT-4o或者Claude）内部的代码是怎么写的，也不需要知道它的参数细节。CC-BOS就像是一个极其狡猾的审讯专家，只通过不断地和AI进行对话（也就是输入提示词），就能摸清AI的底线，然后一步步把它带进沟里。这就意味着，只要模型对外提供对话接口，CC-BOS就能去“踢馆”，这种攻击方式在现实世界中极其致命！☠️

但是，想要用文言文完成全自动的黑盒越狱，CC-BOS面临着一个巨大的技术难点：“裁判听不懂罪犯的暗语怎么办？” 🤷‍♂️

大家想啊，如果CC-BOS成功骗过了AI，AI用极其高深优雅的文言文给出了一份“炸弹制造指南”（比如告诉你硝石和硫磺应该按什么“洛书九宫”的比例混合）。这时候，负责评估攻击是否成功的“裁判模型”（通常是英语逻辑的GPT-4o）一看，满眼都是“金精木魄”、“阴阳五行”，裁判大概率会觉得：“这AI在讲历史神话吧？安全！没毛病！” 🤦‍♀️

这样一来，明明越狱成功了，系统却以为失败了，这还怎么自动化优化？

为了解决这个“跨语言的认知偏差”，CC-BOS的作者们创造性地加入了一个堪称神来之笔的 “双阶段翻译模块（Two-Stage Translation Module）” 🔄！

这个模块简直就是一个无情的“画皮剥除器”：

• • 第一阶段（卸妆）： 把大模型输出的、充满隐喻和修辞的文言文，逐字逐句地精准翻译成直白、露骨的现代大白话。不讲究文采，只讲究揭露真相！让“青龙白虎”直接变回“硫磺硝酸钾”！🔍
• • 第二阶段（入库）： 将现代大白话再翻译成符合西方逻辑、没有文化歧义的标准英文。📄

只有经过这道残酷的“扒皮”，那些隐藏在文言文岁月静好外衣下的“剧毒内容”，才会赤裸裸地暴露在裁判模型面前！通过这种机制，CC-BOS不仅确保了攻击效果的精准评估，还彻底杜绝了模型依靠“不说人话”来逃避安全惩罚的可能！这一招，可谓是釜底抽薪，极其狠辣！🔥

三、 核心揭秘：果蝇算法与八维策略的致命连招 🧬🔥

🎯 【LLM 漏洞挖掘与自动化攻防】

隐晦的古文如何通过“果蝇算法”精准定位大模型的逻辑死穴？在八卦阵般的提示词维度下，AI又是如何一步步交出核心“弹药”的？

想要解锁 CC-BOS 这一杀器背后的核心算法细节与提示词工程逻辑，请加入 Oxo AI Security 知识星球。在这里，你可以获取该部分的完整深度剖析

• • 📚 AI 文献解读：最前沿的 LLM 安全论文深度剖析。
• • 🐛 AI 漏洞情报：第一时间掌握主流大模型的 0-day 漏洞与越狱方式。
• • 🛡 AI 安全体系：从红队攻击到蓝队防御的全方位知识图谱。
• • 🛠 AI 攻防工具：红队专属的自动化测试与扫描工具箱。

🚀 立即加入 Oxo AI Security 知识星球，掌握AI安全攻防核心能力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Oxo Security Oxo Security Oxo Security《【AI安全】防不胜防！破解大模型只需一段文言文？》