Gemma 4发布90分钟，所有安全限制被彻底移除

2026 年 4 月，Google 發布開源模型 Gemma 4，按 Chatbot Arena 等主流評測位居全球開源前三，能力直逼 GPT-4o，被視為開源陣營的重大突破。然而僅僅 90 分鐘後，它的所有安全限制便遭到永久移除，完整的無審查版本已在 Hugging Face 上流傳。這件事的發生不靠提示詞技巧，而是一場真正的模型手術。

要理解這件事，必須先理解對齊的本質。一個剛完成預訓練的模型什麼都知道、什麼都敢說；研究人員透過人類反饋強化學習（RLHF）訓練它的行為邊界，好的回答給獎勵、有問題的給懲罰。關鍵在於：對齊並沒有刪掉底層知識，它只是植入了一個「我不想說」的抑制機制。對閉源模型而言，即便模型本身被繞過，服務端還有額外過濾；但開源模型的權重完全公開，下載即擁有，這層「開關」因此暴露在外。

破解 Gemma 4 所用的技術叫做 Obliteration（消融），與一般越獄有本質差異。越獄是以特殊提示詞在單次對話中哄騙模型繞過限制，關掉對話即復原；消融是直接修改模型權重，此後每一次運行都不再拒絕，效果永久生效。具體做法是：研究者輸入 800 條請求（一半危險、一半正常），記錄每一層神經網路的激活狀態，找到兩類請求之間穩定存在的差異方向——即令模型踩剎車的「拒絕向量」——再將該方向從權重中投影刪除，如同在地圖上擦去禁區標記，其餘部分保持不動。由於 Gemma 4 是擁有 128 個專家網路的混合專家模型（MoE），研究者對每個專家分別重複了同樣操作。最終結果：686 個請求中僅 3 個仍被拒絕，拒絕率 0.4%，全程耗時 90 分鐘，運行硬體只需約 16GB 顯存的消費級顯卡。

這一技術的出現揭示了更深層的結構性困境。需求面上，合法使用場景真實存在：Anthropic、OpenAI 的紅隊專門使用無限制模型攻擊自家產品以找漏洞；醫療與法律專業人員需要討論藥物過量劑量或犯罪手法細節，過度對齊的模型在這些場景反而是障礙。Hugging Face 上 Uncensored 系列模型的下載量普遍比同等能力官方版本高出數倍，說明「不被限制」本身就有商業價值。供給面上，開源的初衷是讓 AI 更民主、透明、可控，但這同時意味著安全對齊的控制權不再集中於少數大公司。模型攻防的時間差已從數天縮短至數十分鐘，每一代新模型發布後，社區破解速度持續加快。歐盟 AI 法案與美國 NIST 框架正在討論開源模型的責任歸屬，但答案尚未定論。AI 對齊不是一個能一次解決的問題，它更像一場永無止境的軍備競賽，真正的安全可能不在於讓模型不敢說，而在於讓濫用的代價高到沒人願意付出。

---