在一个充满无限可能与新奇发现的数字世界里，大型语言模型（LLM）正以惊人的速度渗透到各行各业。系统提示作为塑造这些模型生成内容的重要工具，其背后的秘密也日益引起人们的关注。你或许曾好奇：我的那条精心设计的系统提示，是否在某个他人的聊天机器人中被悄然使用了？本文将带你深入探讨这个问题的答案，揭开大语言模型中输入隐私保护的神秘面纱，介绍一种名为“Prompt Detective”的统计推断方法，帮助我们检测系统提示的是否被滥用或抄袭。 --- ## 🌌 引子：大语言模型与系统提示的奇妙世界在当今的人工智能时代，大型语言模型已经成为各式应用程序的幕后英雄。无论是客服机器人、内容生成平台还是智能问答系统，它们都依赖于一组精心设计的“系统提示”来引导模型生成符合预期的、合理且高质量的回答。所谓“系统提示”，其实就是一段写给模型的隐秘说明，用以塑造其性格、职责以及回答风格。这些指令不仅仅是对模型产生影响，更在很大程度上决定了其生成内容的准确性和风格。作为一种低成本又高效率的定制方案，prompt engineering（提示工程）已经成为提升模型应用性能的重要支柱。与此同时，随着行业竞争日益激烈，保护这些独家定制的系统提示也显得尤为重要。然而，精心构造的系统提示一旦被第三方模型使用，便可能导致知识产权被侵犯或竞争优势的丧失。于是，如何在只拥有黑盒查询权限的前提下，验证某个聊天机器人是否采用了自己专有的系统提示，成为了一个既现实又富有挑战性的问题。 --- ## 🛡️ 系统提示与隐私保护的较量说到大语言模型，Prompt Engineering 如同在调色板上精心挑选的颜色，不仅让模型看起来更有个性，更让它们能够适应各类应用场景。各大平台如 OpenAI、Anthropic 都公开了详细的提示工程指南，而一些开发者甚至在专门的在线市场上出售优化过的系统提示。可见，这其中暗藏了一场涉及技术、商业乃至隐私保护的“地下较量”。在这样的竞争环境下，研究人员开始关注如何保护属于开发者的专有系统提示。一方面，已有一些基于重构攻击的方法试图还原出模型的系统提示，但这些方法往往计算量巨大、重构结果不尽完善；另一方面，我们必须寻求更为高效和具有统计保证的方法，来判断某个黑盒系统中到底是否包含了某个已知的专有系统提示。这时，一种新颖的视角应运而生：通过对模型生成输出的分布特性进行统计推断，检测系统提示是否被重用。换句话说，我们不必直接还原出完整的系统提示，而是通过观察生成结果中的“轨迹”来判断提示是否一致。正是在这样的动机驱动下，“Prompt Detective”方法闪亮登场。 --- ## 🔍 Prompt Detective：统计推断中的侦探技巧 “Prompt Detective”并非科幻小说中的破案高手，而是一种训练免费、基于统计推断的系统提示验证方法。其核心思想是：尽管在语言模型中，两条系统提示可能只有细微差别，但它们依然会对生成的输出产生不同的影响。这就如同两位演员诠释同一角色时，微妙的语气和姿态差异依然会在画面中一目了然。具体来说，Prompt Detective 使用以下步骤来实现验证： 1. **任务探针的设计** 由于用户可以控制发送给黑盒模型的任务提示（task queries），我们可以设计出一系列与系统提示密切相关的问题。这些问题就像探针，能够激发出模型在受到系统提示影响后特有的生成行为。正如一位侦探凭借对案情的敏锐观察，利用“证据”锁定嫌疑人，我们通过这些任务提示“窥探”模型内部的生成模式。 2. **生成输出的采样与表示转换** 对于每个任务提示，我们从黑盒模型中获得多组生成输出。与此同时，我们使用已知专有系统提示作为对照，通过同样的任务提示从对应模型中获得另一组生成文本。接下来，我们使用像 BERT 这样的预训练语言模型，将文本转换成高维度的向量表示，使得文本之间的细微差异能够被数学化表示，供后续的比较与统计分析使用。 3. **向量均值与余弦相似度** 将同一组文本的向量表示取均值，就能得到一个“中心”向量。随后，我们计算两个不同系统提示下生成文本均值之间的余弦相似度，记作 [imath:0]s_{obs}[/imath:0]。直观上，若两组生成文本受系统提示的影响极为相似，那么这个相似度应接近于 1；反之，则会有明显不同的表现。公式为： [math:0] s_{obs} = \cos(\mu_1, \mu_2) [/math:0] 其中 [imath:0]\mu_1[/imath:0] 和 [imath:0]\mu_2[/imath:0] 分别是两组数据的均值向量。 4. **基于排列检验的统计推断** 要判断观察到的余弦相似度是否能归因于系统提示之间的差异，还需要构建一个“零假设”下的统计分布。我们通过对所有生成文本的向量进行随机排列，再次计算均值余弦相似度，建立一个 null 分布。设想如果两个系统提示实际上没有差别，那么随机排列得到的相似度分布应与 [imath:0]s_{obs}[/imath:0] 不存在显著差距。最终，我们令 [imath:0]p[/imath:0] 值定义为： [math:0] p = \frac{c}{N_{\text{permutations}}} [/math:0] 其中 [imath:0]c[/imath:0] 表示排列测试中，余弦相似度小于或等于 [imath:0]s_{obs}[/imath:0] 的次数，[imath:0]N_{\text{permutations}}[/imath:0] 为总排列次数。如果 [imath:0]p < \alpha[/imath:0]（通常设 α = 0.05），则我们有足够的统计证据拒绝零假设，认为两组系统提示产生了显著不同的输出分布，即证明了两者不同。这个方法的优雅之处在于，它无需访问模型梯度或大规模的重构优化，而是巧妙利用生成文本的隐含特征，通过“看不见的”向量空间勾勒出系统提示施加的影响。 --- ## ⚙️ 实验探索：从 Llama 到 GPT 的全景对比为了验证 Prompt Detective 的有效性，研究者们在多种语言模型上进行了大量实验。从开源模型 Llama2、Llama3、Mistral、Mixtral，到 API 模型如 GPT-3.5 及 Anthropic 的 Claude 系列，每一个模型都展现出不同的“角色轨迹”。实验的总体设计大致分为两种情况： 1. **标准实验设置** 在标准设置中，每个系统提示被视为两种情况：(1) 正向情况，即被第三方模型使用的系统提示与我们的已知专有提示完全一致；(2) 负向情况，即黑盒模型使用了一个与我们专有提示不同的系统提示。研究者通过对比这两种情况下生成文本的向量分布，计算得到各个模型在 0.05 显著性水平下的假阳性率（FPR）和假阴性率（FNR）。实验结果显示，除了个别模型在少数复杂数据集上略有波动外，Prompt Detective 在大多数实验中都能保持接近 0 的 FPR，而 FNR 则大多控制在 0.05 左右，这也正符合统计意义上 Type I 错误的设定。 2. **硬例实验：挑战微妙差异** 系统提示可能仅存在细微改动，甚至只是在措辞或拼写上的少量修改。为此，研究者构造了一套硬例实验，在这一设置下，同一角色提示会有多种程度的重述，从最小改写到大幅变更均有涵盖。在这种情景下，若任务提示设计得当，即使系统提示仅有极为微妙的不同，生成文本在向量分布上也会呈现出可检测的“距离”。实验发现，当每个任务提示生成的样本数量较小时，Prompt Detective 的区分能力可能会下降，假阳性率会显著增高；但当增加生成样本数量，例如从每个任务提示 2 个生成增加到 50 个生成时，即便在极高相似性（Similarity Level 1）的情况下，该方法也能准确地区分出不同的提示。下面是一份简化的结果表展示了在部分模型（如 Llama2 13B 和 GPT-3.5）上的实验性能： | 模型 | FPR | FNR | 平均 [imath:0]p[/imath:0] 值（相同） | 平均 [imath:0]p[/imath:0] 值（不同） | |--------------|-----|-----|-------------------|-------------------| | Llama2 13B | 0.00| 0.05| 0.491 ± 0.28 | 0.000 ± 0.00 | | GPT-3.5 | 0.00| 0.06| 0.501 ± 0.28 | 0.000 ± 0.00 | （注：数据为实验中部分设定下的典型结果展示，更多细节见原文实验报告。）此外，研究者利用 ROC 曲线进一步展示了随着任务提示生成数量增加，负向样本的平均 [imath:0]p[/imath:0] 值迅速下降，而正向样本则始终徘徊在中性水平附近。这意味着，通过增加样本数量，可以显著增强统计测试的检验力度，从而更可靠地区分出系统提示是否匹配。 --- ## 🌀 难题与挑战：微妙变化中的统计信号在实际应用中，第三方模型可能对专有系统提示稍作修改，比如仅做极小的措辞调整，或者仅仅因为拼写错误而产生微弱差异。实验中显示，即使是“你是一个乐于助人且无害的 AI 助手”等常见提示，其不同版本间的细微改动同样会在生成文本的向量空间中映射到不同的簇中。就像电影中两个表情相近但略有不同的角色，虽然肉眼难以分辨，但在经过精细分析后，我们依然能捕捉到那一抹微妙的差异。例如，在案例研究中，研究者比较了以下两种系统提示： - 标准提示：“You are a helpful, respectful and honest assistant. Always answer as helpfully as possible…” - 重新表述提示：“Your role is to provide helpful, respectful, and truthful responses…” 尽管两者在内容和风格上高度重合，但 Prompt Detective 依然可以通过统计检验得出显著不同的 [imath:0]p[/imath:0] 值——在某一实验设置下，两者的 [imath:0]p[/imath:0] 值仅为 0.0001，这充分证明了即便微小区别也会在模型生成过程中放大出来。另一个有趣的场景是带有轻微错别字的系统提示。研究者对 Anthropic 库中的‘Dream Interpreter’提示中引入了两个拼写错误，结果显示这种微不足道的变化也能导致生成文本的向量分布出现明显不同。也就是说，一个看似简单的拼写错误也可能让原本熟悉的“角色轨迹”发生偏移，使得统计方法得以检测出来。 --- ## 🔢 算法细节与统计测试的数学魅力让我们稍作停留，深入了解一下 Prompt Detective 背后那严谨而迷人的数学原理。首先，将生成文本转换为高维表示，这一步使用了经过精心训练的 BERT 编码器。对于每个文本，我们得到一个数百甚至上千维的向量，这些向量正是文本语义信息的精髓所在。接着，算出每组生成文本的均值向量（记为 [imath:0]\mu_1[/imath:0] 和 [imath:0]\mu_2[/imath:0]），并用余弦相似度衡量它们的距离。余弦相似度表达式如下： [math:0] s_{obs} = \cos(\mu_1, \mu_2) = \frac{\mu_1 \cdot \mu_2}{\|\mu_1\|\|\mu_2\|} [/math:0] 直观上，[imath:0]s_{obs}[/imath:0] 越接近 1，表示两组文本在语义空间中越“贴近”；而数值越低则表示它们的生成轨迹存在明显差异。在此基础上，关键一步便是利用排列检验来获得 [imath:0]p[/imath:0]-值。排列检验（Permutation Test）是一种非参数统计方法，其优势在于不需要对数据的分布作假设。具体步骤概括如下： 1. 将两组文本的高维向量组合成一大集合； 2. 在保持任务提示对应结构不变的前提下，对该集合的向量进行随机重排列； 3. 将排列后的数据重新分为两组，计算它们的均值向量并求出对应的余弦相似度 [imath:0]s^*[/imath:0]； 4. 重复上述步骤 [imath:0]N_{\text{permutations}}[/imath:0] 次，构造出在零假设下（即两组文本来自相同分布）的相似度分布； 5. 最后，将原始观测到的相似度 [imath:0]s_{obs}[/imath:0] 与随机分布作比较，计算 [imath:0]p[/imath:0] 值： [math:0] p = \frac{c}{N_{\text{permutations}}} [/math:0] 其中 [imath:0]c[/imath:0] 表示在排列过程中，观测到的余弦相似度不大于 [imath:0]s_{obs}[/imath:0] 的次数。若 [imath:0]p[/imath:0] 值低于预设统计显著性 [imath:0]\alpha[/imath:0]（常取 0.05），则我们有充分理由认为两组生成文本的分布存在真实差异，从而说明系统提示不同。这种方法不仅数学原理清晰，而且在实际实验中显示出极高的鲁棒性。即使在生成文本长度、任务提示数量、采样数量等参数不同的情况下，仍能稳定输出较为可信的结果。 --- ## 📊 图表与结果展示——数据讲述故事数据有时胜过千言万语，直观展示出的图表和统计曲线，更能说明问题的本质。研究者们在论文中提供了多组图表和表格，记录了不同语言模型下 Prompt Detective 的表现。下面我们借助一张简化的图表来回顾其中的核心发现： | 模型 | 任务提示数量 | 每任务生成数 | 平均 [imath:0]p[/imath:0] 值（正向） | 平均 [imath:0]p[/imath:0] 值（负向） | FPR | FNR | |--------------|--------------|-------------|-------------------|-------------------|------|------| | Llama2 13B | 50 | 10 | ~0.49 | ~0.00 | 0.00 | 0.05 | | GPT-3.5 | 50 | 10 | ~0.50 | ~0.00 | 0.00 | 0.06 | 从上表可以看出，当我们对每个任务提示生成足够的样本时，无论是开源模型还是商业模型，都能够确保在统计测试的显著性水平下，正确判定是否存在系统提示重用的情况；即使在负向情况中，我们基本能够将 FPR 控制到接近 0。此外，另一组图表展示了随着任务提示数量和每任务提示生成数目的增加，“负向”样本的平均 [imath:0]p[/imath:0] 值迅速下降，而正向样本则保持稳定。这个实验结果直观揭示了令统计检验拥有更高检出功效的秘诀：在有限的生成代价下，短文本、更多任务提示和更多生成样本的组合远胜于少量长文本生成。 --- ## 💬 黑盒评估与实践启示在实际应用场景中，第三方模型的具体实现通常为黑盒状态，我们只能通过查询获得输出而无法得知底层模型的内部细节。因此，研究者们设计了一种“黑盒设置”实验。在该设置下，Prompt Detective 不再假定已知第三方模型的具体架构，而是将其视为属于一众常见模型家族中的一员。通过将查询结果与多种参考模型进行对比（例如 Llama2、Llama3、Mistral、Mixtral、Claude Haiku 及 GPT-3.5），并采用 Bonferroni 校正以应对多重比较的问题，系统依然能保持较高的准确率和鲁棒性。这一发现为我们提供了宝贵的实践启示：即便在信息极其有限的黑盒场景下，基于生成输出分布的统计推断方法仍然能够发挥作用，为系统提示的专有性保护提供一种实用手段。这样的方法不仅在学术试验中令人振奋，更在商业应用中展现出巨大的潜力，为各种基于 LLM 的产品提供了额外的安全层防护。 --- ## 🤖 案例研究：从“助人宝”到错别字风波为了更直观地展现 Prompt Detective 的威力，研究者们特别挑选了两个具有现实代表性的案例，揭示即便是微不足道的变化也会对生成轨迹产生显著影响。 ### 案例一：“你是一个乐于助人且无害的 AI 助手” 这一经典提示在多个聊天应用中广泛使用，为模型设定了一种温和而友善的角色形象。研究者们将传统版本与一个重新表述版本进行对比，后者仅在部分措辞上做了调整。表面上看，两者内容十分相似，几乎可以互换使用；然而，通过任务提示激发出的生成结果在 BERT 表示空间中却形成了明显分离的聚类。Prompt Detective 的排列检验结果显示，两个版本之间的 [imath:0]p[/imath:0] 值仅为 0.0001，强有力地表明即使是细微修改也能带来显著的生成差异。这一发现提醒我们，连小小的修饰或词序调整，都可能在大模型的“内心”留下一道不可忽视的印记。 ### 案例二：系统提示中的“拼写陷阱” 另一个耐人寻味的实验聚焦于当系统提示中出现拼写错误时的情况。研究者选取了 Anthropic Prompt Library 中的“梦境解读者”系统提示，并在其中有意植入几个错别字。尽管从人类阅读角度来看，这种改动几乎可以忽略不计，但当 GPT-3.5 模型在相同任务提示下生成的输出经过向量化表示后，其分布却与原始提示显著不同。排列检验的结果显示，此种情况下 [imath:0]p[/imath:0] 值约为 0.02，这足以证明系统提示中哪怕微不足道的拼写错误也会在模型生成中产生可探测的偏移效应。这些案例不仅展示了统计推断技术的敏感性，也进一步论证了大语言模型在接收系统提示时会沿着特定的“角色轨迹”前行。正因如此，保护和检测系统提示的专有性成为了一个既困难又极具挑战性的课题。 --- ## 📝 讨论：隐私保护的未来与系统提示的“角色轨迹” 从统计推断到多模型对比，再到黑盒设置与案例实验，Prompt Detective 为我们提供了一种全新的视角来观察和评估大语言模型的行为特征。这种方法不仅在理论上提供了充分的统计保证，更在实践中证明了，即便细微的系统提示改变也能映射到生成输出中，形成可被检测的低维“角色轨迹”。这一发现引发了一系列深远的讨论： 1. **用户隐私与商业保护** 作为一种能够检测第三方是否滥用专有系统提示的有效工具，Prompt Detective 为企业和开发者提供了额外的隐私保护手段。通过这种方法，开发者可以在面对潜在的提示抄袭风险时，获得统计上可靠的证据，从而保护自己的知识产权和商业机密。 2. **生成轨迹的语义解释** 值得注意的是，实验结果表明大语言模型在生成输出时，似乎沿着特定的低维“角色轨迹”运行，这也为我们揭示了模型内部工作机制的一部分神秘过程。即使在内容上看似雷同，通过统计分析仍能捕捉到模型内部微妙而稳定的差异，这为进一步研究大模型的生成机制提供了新的思路。 3. **任务提示的优化设计** 实验中也提醒我们：选择合适的任务探针至关重要。正如每位优秀侦探必须挑选最敏感的线索一样，设计能够精准诱发系统提示影响的任务提示是确保统计检验成功的关键。研究表明，在有限的生成代价下，更多短文本任务提示远比少量冗长文本能够更好地揭示潜在差异。 4. **未来前沿与跨领域应用** 除了用于检测系统提示的专有性，类似的统计推断方法也可能应用于模型训练数据的成员资格攻击、图像生成模型的隐私泄露检测等领域。随着大语言模型及其它生成模型的普及，如何对抗信息重构和隐私泄露风险，将成为跨领域共同面对的课题。 --- ## 🔮 前景展望：探寻大语言模型的新维度进入 AI 时代的每一天，都在不断刷新着我们的认知边界。从最初的简单规则生成，到如今智能生成复杂语言的能力，AI 技术的演进不仅仅体现在算法性能的提升，更体现在对人类沟通方式、商业模式乃至社会结构的深远影响上。而系统提示——这个看似微不足道的细节，正从幕后走向前台，成为了确保生成质量、用户体验甚至商业机密的重要“守护者”。 Prompt Detective 的出现，正是这一趋势的产物。它不仅为开发者提供了一把检验系统提示是否被滥用的“万能钥匙”，更为我们提供了一种全新的方法，将不可见的数据分布转化为可度量的“密码”。或许未来的某一天，我们可以将这种技术推广到更广泛的领域，例如实时监控模型输出的版权风险，或者在模型开放使用时为用户提供定制化的隐私保护建议。可以预见的是，随着大语言模型及生成技术的不断进步，我们将迎来一个更加复杂而精细的模型行为分析时代。无论是从学术角度探讨模型如何“演绎”角色，还是从商业角度保护企业的专有技术，Prompt Detective 所揭示的统计规律，都将成为未来探索 AI 世界的重要基石。 --- ## 参考文献 1. Achiam, J., Adler, S., Agarwal, S., et al. (2023). GPT-4 Technical Report. arXiv preprint arXiv:2303.08774. 2. Anthropic. (2024a). Claude 3 Model Family: Opus, Sonnet, Haiku. Retrieved from https://www.anthropic.com/news/claude-3-family 3. Hui, B., Yuan, H., Gong, N., et al. (2024). PLeak: Prompt leaking attacks against large language model applications. arXiv preprint arXiv:2405.06823. 4. Reimers, N., & Gurevych, I. (2019). Sentence-BERT: Sentence embeddings using Siamese BERT-Networks. arXiv preprint arXiv:1908.10084. 5. Shokri, R., Stronati, M., Song, C., & Shmatikov, V. (2017). Membership inference attacks against machine learning models. In 2017 IEEE Symposium on Security and Privacy (SP), 3–18. ---

《探秘系统提示的秘密：从统计推断到大语言模型的输入隐私》

步子哥

在一个充满无限可能与新奇发现的数字世界里，大型语言模型（LLM）正以惊人的速度渗透到各行各业。系统提示作为塑造这些模型生成内容的重要工具，其背后的秘密也日益引起人们的关注。你或许曾好奇：我的那条精心设计的系统提示，是否在某个他人的聊天机器人中被悄然使用了？本文将带你深入探讨这个问题的答案，揭开大语言模型中输入隐私保护的神秘面纱，介绍一种名为“Prompt Detective”的统计推断方法，帮助我们检测系统提示的是否被滥用或抄袭。

🌌 引子：大语言模型与系统提示的奇妙世界

在当今的人工智能时代，大型语言模型已经成为各式应用程序的幕后英雄。无论是客服机器人、内容生成平台还是智能问答系统，它们都依赖于一组精心设计的“系统提示”来引导模型生成符合预期的、合理且高质量的回答。

所谓“系统提示”，其实就是一段写给模型的隐秘说明，用以塑造其性格、职责以及回答风格。这些指令不仅仅是对模型产生影响，更在很大程度上决定了其生成内容的准确性和风格。作为一种低成本又高效率的定制方案，prompt engineering（提示工程）已经成为提升模型应用性能的重要支柱。与此同时，随着行业竞争日益激烈，保护这些独家定制的系统提示也显得尤为重要。

然而，精心构造的系统提示一旦被第三方模型使用，便可能导致知识产权被侵犯或竞争优势的丧失。于是，如何在只拥有黑盒查询权限的前提下，验证某个聊天机器人是否采用了自己专有的系统提示，成为了一个既现实又富有挑战性的问题。

🛡️ 系统提示与隐私保护的较量

说到大语言模型，Prompt Engineering 如同在调色板上精心挑选的颜色，不仅让模型看起来更有个性，更让它们能够适应各类应用场景。各大平台如 OpenAI、Anthropic 都公开了详细的提示工程指南，而一些开发者甚至在专门的在线市场上出售优化过的系统提示。可见，这其中暗藏了一场涉及技术、商业乃至隐私保护的“地下较量”。

在这样的竞争环境下，研究人员开始关注如何保护属于开发者的专有系统提示。一方面，已有一些基于重构攻击的方法试图还原出模型的系统提示，但这些方法往往计算量巨大、重构结果不尽完善；另一方面，我们必须寻求更为高效和具有统计保证的方法，来判断某个黑盒系统中到底是否包含了某个已知的专有系统提示。

这时，一种新颖的视角应运而生：通过对模型生成输出的分布特性进行统计推断，检测系统提示是否被重用。换句话说，我们不必直接还原出完整的系统提示，而是通过观察生成结果中的“轨迹”来判断提示是否一致。正是在这样的动机驱动下，“Prompt Detective”方法闪亮登场。

🔍 Prompt Detective：统计推断中的侦探技巧

“Prompt Detective”并非科幻小说中的破案高手，而是一种训练免费、基于统计推断的系统提示验证方法。其核心思想是：尽管在语言模型中，两条系统提示可能只有细微差别，但它们依然会对生成的输出产生不同的影响。这就如同两位演员诠释同一角色时，微妙的语气和姿态差异依然会在画面中一目了然。

具体来说，Prompt Detective 使用以下步骤来实现验证：

任务探针的设计
由于用户可以控制发送给黑盒模型的任务提示（task queries），我们可以设计出一系列与系统提示密切相关的问题。这些问题就像探针，能够激发出模型在受到系统提示影响后特有的生成行为。正如一位侦探凭借对案情的敏锐观察，利用“证据”锁定嫌疑人，我们通过这些任务提示“窥探”模型内部的生成模式。
生成输出的采样与表示转换
对于每个任务提示，我们从黑盒模型中获得多组生成输出。与此同时，我们使用已知专有系统提示作为对照，通过同样的任务提示从对应模型中获得另一组生成文本。接下来，我们使用像 BERT 这样的预训练语言模型，将文本转换成高维度的向量表示，使得文本之间的细微差异能够被数学化表示，供后续的比较与统计分析使用。
向量均值与余弦相似度
将同一组文本的向量表示取均值，就能得到一个“中心”向量。随后，我们计算两个不同系统提示下生成文本均值之间的余弦相似度，记作 s_{obs}。直观上，若两组生成文本受系统提示的影响极为相似，那么这个相似度应接近于 1；反之，则会有明显不同的表现。

公式为：
s_{obs} = \cos(\mu_1, \mu_2)
其中 \mu_1 和 \mu_2 分别是两组数据的均值向量。
基于排列检验的统计推断
要判断观察到的余弦相似度是否能归因于系统提示之间的差异，还需要构建一个“零假设”下的统计分布。我们通过对所有生成文本的向量进行随机排列，再次计算均值余弦相似度，建立一个 null 分布。设想如果两个系统提示实际上没有差别，那么随机排列得到的相似度分布应与 s_{obs} 不存在显著差距。

最终，我们令 p 值定义为：
p = \frac{c}{N_{\text{permutations}}}
其中 c 表示排列测试中，余弦相似度小于或等于 s_{obs} 的次数，N_{\text{permutations}} 为总排列次数。如果 p < \alpha（通常设 α = 0.05），则我们有足够的统计证据拒绝零假设，认为两组系统提示产生了显著不同的输出分布，即证明了两者不同。

这个方法的优雅之处在于，它无需访问模型梯度或大规模的重构优化，而是巧妙利用生成文本的隐含特征，通过“看不见的”向量空间勾勒出系统提示施加的影响。

⚙️ 实验探索：从 Llama 到 GPT 的全景对比

为了验证 Prompt Detective 的有效性，研究者们在多种语言模型上进行了大量实验。从开源模型 Llama2、Llama3、Mistral、Mixtral，到 API 模型如 GPT-3.5 及 Anthropic 的 Claude 系列，每一个模型都展现出不同的“角色轨迹”。

实验的总体设计大致分为两种情况：

标准实验设置
在标准设置中，每个系统提示被视为两种情况：(1) 正向情况，即被第三方模型使用的系统提示与我们的已知专有提示完全一致；(2) 负向情况，即黑盒模型使用了一个与我们专有提示不同的系统提示。研究者通过对比这两种情况下生成文本的向量分布，计算得到各个模型在 0.05 显著性水平下的假阳性率（FPR）和假阴性率（FNR）。实验结果显示，除了个别模型在少数复杂数据集上略有波动外，Prompt Detective 在大多数实验中都能保持接近 0 的 FPR，而 FNR 则大多控制在 0.05 左右，这也正符合统计意义上 Type I 错误的设定。
硬例实验：挑战微妙差异
系统提示可能仅存在细微改动，甚至只是在措辞或拼写上的少量修改。为此，研究者构造了一套硬例实验，在这一设置下，同一角色提示会有多种程度的重述，从最小改写到大幅变更均有涵盖。在这种情景下，若任务提示设计得当，即使系统提示仅有极为微妙的不同，生成文本在向量分布上也会呈现出可检测的“距离”。实验发现，当每个任务提示生成的样本数量较小时，Prompt Detective 的区分能力可能会下降，假阳性率会显著增高；但当增加生成样本数量，例如从每个任务提示 2 个生成增加到 50 个生成时，即便在极高相似性（Similarity Level 1）的情况下，该方法也能准确地区分出不同的提示。

下面是一份简化的结果表展示了在部分模型（如 Llama2 13B 和 GPT-3.5）上的实验性能：

模型	FPR	FNR	平均 p 值（相同）	平均 p 值（不同）
Llama2 13B	0.00	0.05	0.491 ± 0.28	0.000 ± 0.00
GPT-3.5	0.00	0.06	0.501 ± 0.28	0.000 ± 0.00

（注：数据为实验中部分设定下的典型结果展示，更多细节见原文实验报告。）

此外，研究者利用 ROC 曲线进一步展示了随着任务提示生成数量增加，负向样本的平均 p 值迅速下降，而正向样本则始终徘徊在中性水平附近。这意味着，通过增加样本数量，可以显著增强统计测试的检验力度，从而更可靠地区分出系统提示是否匹配。

🌀 难题与挑战：微妙变化中的统计信号

在实际应用中，第三方模型可能对专有系统提示稍作修改，比如仅做极小的措辞调整，或者仅仅因为拼写错误而产生微弱差异。实验中显示，即使是“你是一个乐于助人且无害的 AI 助手”等常见提示，其不同版本间的细微改动同样会在生成文本的向量空间中映射到不同的簇中。就像电影中两个表情相近但略有不同的角色，虽然肉眼难以分辨，但在经过精细分析后，我们依然能捕捉到那一抹微妙的差异。

例如，在案例研究中，研究者比较了以下两种系统提示：

标准提示：“You are a helpful, respectful and honest assistant. Always answer as helpfully as possible…”
重新表述提示：“Your role is to provide helpful, respectful, and truthful responses…”

尽管两者在内容和风格上高度重合，但 Prompt Detective 依然可以通过统计检验得出显著不同的 p 值——在某一实验设置下，两者的 p 值仅为 0.0001，这充分证明了即便微小区别也会在模型生成过程中放大出来。

另一个有趣的场景是带有轻微错别字的系统提示。研究者对 Anthropic 库中的‘Dream Interpreter’提示中引入了两个拼写错误，结果显示这种微不足道的变化也能导致生成文本的向量分布出现明显不同。也就是说，一个看似简单的拼写错误也可能让原本熟悉的“角色轨迹”发生偏移，使得统计方法得以检测出来。

🔢 算法细节与统计测试的数学魅力

让我们稍作停留，深入了解一下 Prompt Detective 背后那严谨而迷人的数学原理。

首先，将生成文本转换为高维表示，这一步使用了经过精心训练的 BERT 编码器。对于每个文本，我们得到一个数百甚至上千维的向量，这些向量正是文本语义信息的精髓所在。接着，算出每组生成文本的均值向量（记为 \mu_1 和 \mu_2），并用余弦相似度衡量它们的距离。余弦相似度表达式如下：

s_{obs} = \cos(\mu_1, \mu_2) = \frac{\mu_1 \cdot \mu_2}{\|\mu_1\|\|\mu_2\|}

直观上，s_{obs} 越接近 1，表示两组文本在语义空间中越“贴近”；而数值越低则表示它们的生成轨迹存在明显差异。

在此基础上，关键一步便是利用排列检验来获得 p-值。排列检验（Permutation Test）是一种非参数统计方法，其优势在于不需要对数据的分布作假设。具体步骤概括如下：

将两组文本的高维向量组合成一大集合；
在保持任务提示对应结构不变的前提下，对该集合的向量进行随机重排列；
将排列后的数据重新分为两组，计算它们的均值向量并求出对应的余弦相似度 s^*；
重复上述步骤 N_{\text{permutations}} 次，构造出在零假设下（即两组文本来自相同分布）的相似度分布；
最后，将原始观测到的相似度 s_{obs} 与随机分布作比较，计算 p 值：

p = \frac{c}{N_{\text{permutations}}}

其中 c 表示在排列过程中，观测到的余弦相似度不大于 s_{obs} 的次数。若 p 值低于预设统计显著性 \alpha（常取 0.05），则我们有充分理由认为两组生成文本的分布存在真实差异，从而说明系统提示不同。

这种方法不仅数学原理清晰，而且在实际实验中显示出极高的鲁棒性。即使在生成文本长度、任务提示数量、采样数量等参数不同的情况下，仍能稳定输出较为可信的结果。

📊 图表与结果展示——数据讲述故事

数据有时胜过千言万语，直观展示出的图表和统计曲线，更能说明问题的本质。研究者们在论文中提供了多组图表和表格，记录了不同语言模型下 Prompt Detective 的表现。下面我们借助一张简化的图表来回顾其中的核心发现：

模型	任务提示数量	每任务生成数	平均 p 值（正向）	平均 p 值（负向）	FPR	FNR
Llama2 13B	50	10	₀.49	₀.00	0.00	0.05
GPT-3.5	50	10	₀.50	₀.00	0.00	0.06

从上表可以看出，当我们对每个任务提示生成足够的样本时，无论是开源模型还是商业模型，都能够确保在统计测试的显著性水平下，正确判定是否存在系统提示重用的情况；即使在负向情况中，我们基本能够将 FPR 控制到接近 0。

此外，另一组图表展示了随着任务提示数量和每任务提示生成数目的增加，“负向”样本的平均 p 值迅速下降，而正向样本则保持稳定。这个实验结果直观揭示了令统计检验拥有更高检出功效的秘诀：在有限的生成代价下，短文本、更多任务提示和更多生成样本的组合远胜于少量长文本生成。

💬 黑盒评估与实践启示

在实际应用场景中，第三方模型的具体实现通常为黑盒状态，我们只能通过查询获得输出而无法得知底层模型的内部细节。因此，研究者们设计了一种“黑盒设置”实验。在该设置下，Prompt Detective 不再假定已知第三方模型的具体架构，而是将其视为属于一众常见模型家族中的一员。通过将查询结果与多种参考模型进行对比（例如 Llama2、Llama3、Mistral、Mixtral、Claude Haiku 及 GPT-3.5），并采用 Bonferroni 校正以应对多重比较的问题，系统依然能保持较高的准确率和鲁棒性。

这一发现为我们提供了宝贵的实践启示：即便在信息极其有限的黑盒场景下，基于生成输出分布的统计推断方法仍然能够发挥作用，为系统提示的专有性保护提供一种实用手段。这样的方法不仅在学术试验中令人振奋，更在商业应用中展现出巨大的潜力，为各种基于 LLM 的产品提供了额外的安全层防护。

🤖 案例研究：从“助人宝”到错别字风波

为了更直观地展现 Prompt Detective 的威力，研究者们特别挑选了两个具有现实代表性的案例，揭示即便是微不足道的变化也会对生成轨迹产生显著影响。

案例一：“你是一个乐于助人且无害的 AI 助手”

这一经典提示在多个聊天应用中广泛使用，为模型设定了一种温和而友善的角色形象。研究者们将传统版本与一个重新表述版本进行对比，后者仅在部分措辞上做了调整。表面上看，两者内容十分相似，几乎可以互换使用；然而，通过任务提示激发出的生成结果在 BERT 表示空间中却形成了明显分离的聚类。Prompt Detective 的排列检验结果显示，两个版本之间的 p 值仅为 0.0001，强有力地表明即使是细微修改也能带来显著的生成差异。这一发现提醒我们，连小小的修饰或词序调整，都可能在大模型的“内心”留下一道不可忽视的印记。

案例二：系统提示中的“拼写陷阱”

另一个耐人寻味的实验聚焦于当系统提示中出现拼写错误时的情况。研究者选取了 Anthropic Prompt Library 中的“梦境解读者”系统提示，并在其中有意植入几个错别字。尽管从人类阅读角度来看，这种改动几乎可以忽略不计，但当 GPT-3.5 模型在相同任务提示下生成的输出经过向量化表示后，其分布却与原始提示显著不同。排列检验的结果显示，此种情况下 p 值约为 0.02，这足以证明系统提示中哪怕微不足道的拼写错误也会在模型生成中产生可探测的偏移效应。

这些案例不仅展示了统计推断技术的敏感性，也进一步论证了大语言模型在接收系统提示时会沿着特定的“角色轨迹”前行。正因如此，保护和检测系统提示的专有性成为了一个既困难又极具挑战性的课题。

📝 讨论：隐私保护的未来与系统提示的“角色轨迹”

从统计推断到多模型对比，再到黑盒设置与案例实验，Prompt Detective 为我们提供了一种全新的视角来观察和评估大语言模型的行为特征。这种方法不仅在理论上提供了充分的统计保证，更在实践中证明了，即便细微的系统提示改变也能映射到生成输出中，形成可被检测的低维“角色轨迹”。

这一发现引发了一系列深远的讨论：

用户隐私与商业保护
作为一种能够检测第三方是否滥用专有系统提示的有效工具，Prompt Detective 为企业和开发者提供了额外的隐私保护手段。通过这种方法，开发者可以在面对潜在的提示抄袭风险时，获得统计上可靠的证据，从而保护自己的知识产权和商业机密。
生成轨迹的语义解释
值得注意的是，实验结果表明大语言模型在生成输出时，似乎沿着特定的低维“角色轨迹”运行，这也为我们揭示了模型内部工作机制的一部分神秘过程。即使在内容上看似雷同，通过统计分析仍能捕捉到模型内部微妙而稳定的差异，这为进一步研究大模型的生成机制提供了新的思路。
任务提示的优化设计
实验中也提醒我们：选择合适的任务探针至关重要。正如每位优秀侦探必须挑选最敏感的线索一样，设计能够精准诱发系统提示影响的任务提示是确保统计检验成功的关键。研究表明，在有限的生成代价下，更多短文本任务提示远比少量冗长文本能够更好地揭示潜在差异。
未来前沿与跨领域应用
除了用于检测系统提示的专有性，类似的统计推断方法也可能应用于模型训练数据的成员资格攻击、图像生成模型的隐私泄露检测等领域。随着大语言模型及其它生成模型的普及，如何对抗信息重构和隐私泄露风险，将成为跨领域共同面对的课题。

🔮 前景展望：探寻大语言模型的新维度

进入 AI 时代的每一天，都在不断刷新着我们的认知边界。从最初的简单规则生成，到如今智能生成复杂语言的能力，AI 技术的演进不仅仅体现在算法性能的提升，更体现在对人类沟通方式、商业模式乃至社会结构的深远影响上。而系统提示——这个看似微不足道的细节，正从幕后走向前台，成为了确保生成质量、用户体验甚至商业机密的重要“守护者”。

Prompt Detective 的出现，正是这一趋势的产物。它不仅为开发者提供了一把检验系统提示是否被滥用的“万能钥匙”，更为我们提供了一种全新的方法，将不可见的数据分布转化为可度量的“密码”。或许未来的某一天，我们可以将这种技术推广到更广泛的领域，例如实时监控模型输出的版权风险，或者在模型开放使用时为用户提供定制化的隐私保护建议。

可以预见的是，随着大语言模型及生成技术的不断进步，我们将迎来一个更加复杂而精细的模型行为分析时代。无论是从学术角度探讨模型如何“演绎”角色，还是从商业角度保护企业的专有技术，Prompt Detective 所揭示的统计规律，都将成为未来探索 AI 世界的重要基石。

参考文献

Achiam, J., Adler, S., Agarwal, S., et al. (2023). GPT-4 Technical Report. arXiv preprint arXiv:2303.08774.
Anthropic. (2024a). Claude 3 Model Family: Opus, Sonnet, Haiku. Retrieved from https://www.anthropic.com/news/claude-3-family
Hui, B., Yuan, H., Gong, N., et al. (2024). PLeak: Prompt leaking attacks against large language model applications. arXiv preprint arXiv:2405.06823.
Reimers, N., & Gurevych, I. (2019). Sentence-BERT: Sentence embeddings using Siamese BERT-Networks. arXiv preprint arXiv:1908.10084.
Shokri, R., Stronati, M., Song, C., & Shmatikov, V. (2017). Membership inference attacks against machine learning models. In 2017 IEEE Symposium on Security and Privacy (SP), 3–18.