AID-H-002.002
極高
Inference-Time Prompt & Input Validation
這是 tokenizer 通道最重要的第一道防線。提示詞進入監控模型或執行模型之前,系統應該先正規化 Unicode、移除或標記看不見的控制字元、tag character 和私用區字元、保留可稽核的原始輸入紀錄,最後只把經核准的標準化版本送進兩條模型路徑。
Lingua Ex Machina 指出一個常見 LLM 安全架構裡的盲點:一個模型負責執行任務,另一個模型負責檢查提示詞或輸出是否安全,但兩者實際看到的文字可能不同。某些看不見的 Unicode 字元會被送進執行模型,成為只有它能讀到的隱藏訊息;同一段文字送到監控模型時,卻可能在分詞器(tokenizer)前處理階段就被刪掉,意思是安全檢查不是判斷力不夠,而是一開始就沒拿到完整內容。Unicode 通道可以用碼位(codepoint)層級清理來關掉;但如果訊息藏在普通英文句子的用字、句型或排列方式裡,語義隱寫(semantic steganography)仍然幾乎無法有效偵測,所以企業不能只靠監控模型,還要限制 agent 能做什麼、資料可以流去哪裡。
面對 Lingua Ex Machina,最好的理解方式,是把它當成 AI harness engineering(駕馭工程)的問題處理。這裡的重點不是再加一個監控模型,而是設計模型外層的輸入、監控、工具調度和證據管線,確保安全檢查看到的內容,就是執行模型會用來決策的內容。Wisely Chen 在 AI Coding 實戰分享 裡把同一個觀點說得很清楚:安全不只是模型能力問題,也是駕馭工程問題,因為外層設計會決定每個模型到底看見哪些證據。AIDEFEND 可以把可修的 Unicode 通道對應到具體防線:輸入驗證、混淆偵測、監控覆蓋率量測、回歸測試、能力收斂和資料流向控管。必須講清楚的邊界是語義隱寫:當隱藏訊息靠普通語言承載,而不是靠 Unicode 字元承載時,防禦方不應承諾完美偵測。更實際的目標,是確保漏掉的訊息不能默默變成資料外洩、未授權工具使用,或政策外的 agent 協調。