[预览] 死磕 Prompt ？AI 内部的“隐藏地图”被破解，1494种越狱全是一个套路 (AUTOSKILL解读)

當我們每天在精心調整 System Prompt，試圖用「你是資深 Python 工程師，請注意安全，輸出 JSON 格式」這類自然語言去操控大模型時，我們其實陷入了一個這個時代最大的工程幻覺。自然語言是離散的符號系統，但模型的內部是幾百億個參數在連續高維向量空間裡流動的數值。你寫下「Please Think Step by Step」，對模型而言發生的是矩陣乘法與激活函數，你的每個詞彙只是一個極度粗糙的低維信號。這就是 Autoscale 這篇論文試圖回應的根本問題。

弗吉尼亞理工大學的研究團隊沒有試圖改進 Prompt 寫法，而是選擇直接進入模型內部。他們的方法分三步：第一步，抽取模型處理每個序列時所有層的隱藏狀態，拼接成一個完整的長向量；第二步，對整個序列做平均池化，得到一個代表「模型眼中這個序列是什麼」的高維表示；第三步，對整個激活矩陣做 PCA 分解，找出最主要的方向——每個方向就是一個「技能軸」，正端與負端分別代表兩種相對的能力傾向。結果出現了一個令人意外的發現：模型自發組織的技能結構，與人類定義的學科分類體系存在系統性錯位。以 LLaMA 為例，符號微積分與離散數學推理竟然落在同一條 PC1 軸的兩個對立端點，而同樣是符號微積分，在 Qwen 的激活空間裡卻位於 PC1 的負軸，與 LLaMA 正好相反。這不是 bug，而是不同模型在各自的預訓練過程中，獨立演化出了一套自己的內部技能地圖。

在 AI 安全評測的應用上，Autoscale 的發現更具衝擊性。研究人員收集了 32 個不同攻擊家族、共 1494 種越獄 Prompt，將這些語義各異、表面上千變萬化的攻擊話術全部投影進激活空間。結果是：這 1494 種 Prompt 觸發的激活向量高度重疊。換句話說，無論攻擊者在文字層面如何包裝、迂迴、偽裝，在模型的激活空間裡，這些行為實際上只是在觸碰同幾個激活軸。模型在更底層的維度上，早就把這些操作識別為同一類事物。這意味著現有的文字層面越獄防禦思路，從根本上就瞄錯了靶子。

從更大的視角看，Autoscale 代表的是整個 AI 工程界正在發生的一次範式轉移。舊範式是 Prompt Engineering 加上外部腳手架，本質是在模型外圍包一層用人類語言寫成的規範層；新範式是 Representation Engineering，直接讀取並操控模型激活空間中的幾何結構，讓模型行為從內部被精確改變。Autoscale 是這個新方向的一個具體落地，它用實驗證明了模型激活空間裡確實存在一套可解讀的技能坐標系，而且這套坐標系比任何人類定義的分類體系都更貼近模型的真實運作邏輯。