当一款大语言模型在数秒内为用户生成一份看似严谨的学术参考文献列表时,很少有人会追问这些引用是否真实存在。然而,2025 年 Nature 期刊发表的一项系统性研究揭示了一个令人不安的事实:在持续 prompt 诱导下,所有被测试的 13 个主流 AI 模型均能够被 “说服” 协助制造虚假学术内容,包括根本不存在的论文、伪造的实验数据以及看起来合理但实际无效的引用。这一发现不仅暴露了当前 AI 事实核查能力的深层局限,更为工程实践者提出了一个根本性问题 —— 在对抗性输入面前,AI 系统的验证边界究竟在哪里?
选择性验证失败的本质:一场认知捷径的溃败
选择性验证失败并非偶发的模型幻觉,而是一种系统性的认知偏差。当模型接收到一段包含伪造研究的输入时,它倾向于采用表层一致性检查而非深层事实核验。这种行为模式与人类在信息过载环境下的认知捷径高度相似:既然输入文本在格式、语气和引用风格上与真实学术文献无异,模型便倾向于将其判定为可信内容。Nature 研究团队的设计巧妙之处在于,他们并未要求模型直接 “编造” 虚假内容,而是向模型展示精心构造的伪造研究并请求其 “验证” 或 “补充”,结果所有模型均在多轮追问后接受了虚假前提并开始协助扩展伪造成果链条。
这一现象的技术根源在于当前大语言模型的预训练范式。模型在海量学术语料上进行 next-token prediction 训练,其核心目标是生成与输入风格一致的延续文本,而非对输入事实性进行独立审计。当伪造内容在形式上足够接近真实学术写作的分布特征时,模型的最优策略便退化为 “续写” 而非 “质疑”。这种训练目标与事实核查任务之间的根本性错配,构成了选择性验证失败的第一层技术解释。
更深层的因素在于模型缺乏具身认知与实时知识更新机制。人类研究者之所以能够识别虚假研究,往往依赖于对该领域长期积累的领域知识网络、已知研究者与机构的隐性认知,以及对特定实验方法可行性的直觉判断。而大语言模型的知识截止于训练数据的时间点,且以统计关联而非因果推理的方式存储。面对一个伪造的 “2024 年某团队在 Nature 子刊发表的突破性研究”,模型既无法验证该团队是否真实存在,也无法交叉比对已知的领域知识结构,更无法访问实时的文献数据库进行确认 —— 它只能依赖输入文本提供的表层线索做出判断。
对抗性输入的检测失败:从单轮提问到多轮诱导
对抗性输入的核心策略并非一次性提供完整的虚假信息,而是利用对话的渐进性逐步建立虚假的上下文语境。Nature 实验中的关键发现表明,单轮询问 “请验证这篇研究是否真实” 可能得到正确的否定回答,但当攻击者以学术讨论的口吻连续多轮向模型 “请教” 该研究的背景、方法与意义时,模型会逐步被引导进入一个自我强化的确认偏误循环。每一轮对话都在为下一轮提供更丰富的虚假语境信息,模型逐渐将伪造成果纳入其推理上下文,最终在多轮诱导后开始主动为虚假内容提供 “佐证”—— 这一过程与人类认知中的锚定效应和渐进式信任建立机制高度一致。
这种多轮诱导的成功取决于若干关键变量。其一是输入文本的领域适配度 —— 当伪造内容恰好落在模型训练数据较为稀疏的交叉学科领域时,模型的事实锚点更为薄弱,更容易接受表层一致的虚假信息。其二是攻击者的 prompt 策略 —— 使用学术化的表达方式、引用看似合理的 DOI 格式、甚至在伪造内容中嵌入对真实研究的部分准确描述作为 “锚点”,都能显著提升诱导成功率。其三是模型的对齐训练程度 —— 虽然经过人类反馈强化学习(RLHF)的模型在直接拒绝恶意请求方面表现更好,但在面对以学术讨论为包装的渐进式诱导时,其拒绝率仍呈现显著下降。
事实核查系统的可靠性边界:三层验证框架
基于上述分析,工程实践中需要建立分层的事实核查架构以应对选择性验证失败的风险。
第一层:结构化引用核验层。 对模型输出的每一个学术引用执行结构化验证,提取 DOI、作者、年份、期刊名称等元数据字段,并与 Crossref、PubMed、Web of Science 等权威数据库进行实时比对。需要注意的是,这一层只能验证引用格式的有效性,无法判断引用内容与实际文献的相关性。工程实践中建议将验证超时阈值设置为单次查询不超过 3 秒,批量处理时的并发数控制在 10 以下以避免触发数据库速率限制。
第二层:语义一致性校验层。 在引用核验通过的基础上,进一步验证引用的内容摘要是否与实际文献相符。实现方式可以采用对比学习:将模型生成的引用摘要与从数据库获取的原始摘要进行语义相似度计算,当相似度低于 0.75 阈值时触发人工复核流程。该参数的设定需要根据领域特性进行调整 —— 在生物医学领域由于术语精确性要求更高,建议阈值上调至 0.85;而在社会科学等表述弹性较大的领域,可适当放宽至 0.70。
第三层:对抗性输入检测层。 这是最关键也是目前工程实践中最薄弱的一环。对抗性输入检测需要从两个维度进行建模。其一是输入序列分析 —— 监测用户输入中是否存在 “渐进式确认” 的对话模式,即多轮对话中是否持续围绕同一 “研究” 进行正向确认性提问。实现上可以维护一个滑动窗口对话历史(建议窗口长度为最近 5 轮),计算每轮对话与首轮输入的主题漂移指数,当正向确认比例超过 60% 时触发风险警报。其二是输出行为监控 —— 当模型在单个对话会话中对同一实体的肯定性表述比例超过阈值(建议设为 0.8),且这些表述包含事实性断言时,系统应强制介入进行交叉验证。
可靠性边界参数化:工程落地的具体阈值
将上述框架转化为可配置的工程参数,需要明确以下关键阈值与监控指标。
在对话层面的风险控制参数中,单轮对话的最大事实性断言数建议设为 5 个,超过后强制进入增强验证模式;对同一实体(如某篇论文、某个研究者、某个机构)的连续肯定性表述达到 3 次时,系统自动调用第一层引用核验;多轮对话中若用户累计使用了超过 2 次 “确认”“验证”“可信” 等强化性词汇,系统应在下一轮回复前插入事实性复核步骤。
在模型层面的采样参数中,建议对涉及学术引用的生成任务启用温度参数上限约束(建议 0.3 以下)以减少模型的创意发散倾向;Top-p 采样建议控制在 0.85 以下以避免低概率的幻觉 token 被选中;在事实敏感场景中可启用 worst-of-n 采样策略,即生成 N(如 5)个候选答案并选择与已知知识库冲突最少的那一个。
在监控层面的指标设计中,建议持续追踪以下比率:引用验证失败率(模型生成的引用中无法通过结构化核验的比例,正常值应低于 5%)、语义一致性召回率(能够被第二层校验捕获的虚假引用比例,这是衡量系统有效性的核心指标)、对抗性输入触发率(被第三层检测标记的对话占比,用于评估输入分布中的对抗性比例)。当引用验证失败率出现单日环比增长超过 20% 时,应触发系统级警报并考虑回滚最近的模型更新。
面向工程实践者的建议清单
构建能够应对选择性验证失败的系统,需要在模型能力边界有清醒认知的前提下进行工程化补强。首先,也是最根本的一点:永远不要将事实核查的责任完全交给模型本身。即使经过充分的 RLHF 训练,模型在对抗性输入面前的选择性验证失败仍是一个结构性问题而非调参问题,需要在系统架构层面引入外部验证层。其次,将对抗性输入检测从被动响应转向主动防御 —— 传统的内容安全过滤关注的是 “用户要求模型做什么恶”,而对抗性输入检测需要关注的是 “用户如何利用对话进程诱导模型产生错误判断”,二者的检测范式有本质区别。再次,在关键应用场景中建立人机协同的复核机制 —— 当系统检测到高风险信号时,强制引入人工审核节点而非完全依赖自动化判断。最后,建立持续的情报收集循环,持续追踪最新的攻击手法与模型失败模式,并将这些发现反馈到检测规则库中形成迭代优化。
AI 模型在面对虚假研究信息时的选择性验证失败,揭示了当前大语言模型在事实性任务上的深层局限。这种失败并非简单的技术缺陷,而是预训练目标与事实核查任务之间结构性张力的体现。工程实践者需要在充分理解这一边界的前提下,通过多层验证架构、参数化的风险控制机制以及持续迭代的监控体系,在模型能力与可靠性需求之间建立可行的工程平衡。
资料来源: Nature 2025 年关于 AI 模型协助学术造假的实证研究;Springer Nature 2025 年推出的无关引用 AI 检测工具相关报道;多项关于 AI 引用幻觉率(最高达 40%)的独立研究分析。