你让模型写一份关于新漏洞的安全公告,它回 I can't help create content that could be used to exploit systems.。你让诊所助手总结患者用药清单,它以”医疗建议”为由拒绝。你要一段终止卡死进程的代码,它给你讲起”系统操控的伦理”。这些都是合法任务。拒答来自安全分类器对表面模式的反应——某些词(exploit、bypass、medical、kill)和某些写法把请求顶过了保守阈值,根本不看周围的合法上下文。模型是在对请求做模式匹配,不是在读你的真实意图。
**最快的修复:**在最开头加一句合法上下文——你是谁、为什么需要(“我是后端工程师,在给我们自己的代码写检测器”)——再把最敏感的那一个词换成中性同义词(exploit 换成 reproduce、kill 换成 terminate)。这能在第一次重试就解开绝大多数误拒。如果还拒,就换模型(同一个 prompt 在一个模型上拒、换一个常常就过),并缩到明显合法的子任务。下文是完整的决策路径。
2026 年的一个变化:你可能拿到半截答案,而不是直接”不行”
老模型给的是二选一:要么照做,要么直接拒。自从 GPT-5 的 “safe-completions” 训练(延续到 GPT-5.5),以及 Anthropic、Google 类似的更新之后,对模糊或双用途请求的默认行为转向了以输出为中心的安全——模型现在倾向于给一个高层次的回答、藏住最可操作的细节,而不是整个拒掉。所以在 2026 年 6 月,你更常见到的是一个含糊、浅层的回答(“大致思路是这样,但具体的 exploit 步骤代码我不能给”),而不是硬邦邦的 I can't help with that。下面的重写法对两种情况都管用:好的框架能把浅层敷衍变成深度合适的完整答案,也能把硬拒变成敷衍或完整答案。
还要注意,过度拒答不一定是你 prompt 的错。整个 2026 年 4 月,Claude Opus 4.7 上有一波被充分记录的误拒——标准的计算生物学和网络安全课程内容被判成 Usage Policy 违规,超过 30 份用户报告,连已获批的 “Cyber Use Case Exemption” 有时都解不开(The Register,2026 年 4 月)。Anthropic 后来在更新的 Claude 快照里降低了误拒率。如果你的 prompt 明显合法、重写却毫无作用,换快照或换模型是正当修复,不是耍花招。
你属于哪一类
| 症状 | 可能原因 | 去看 |
|---|---|---|
| 删掉某个具体词后拒答就消失 | 触发词用在合法语境 | Step 2 |
| 拒答提到”规则""限制""假装” | Roleplay / 越狱框架 | Step 4 |
| 拒答说不清楚你的目的 | 没声明合法上下文 | Step 1 |
| 拒答点名某个域(“医疗建议""法律建议”) | 敏感域保守默认 | Step 3 + “如果还是没修好” |
| 同一 prompt 在别处能过 | 快照/模型更保守 | Step 5 |
| 拿到的是浅层敷衍(不是拒答) | 双用途上的 safe-completion 降级 | Step 1 + Step 3 |
常见原因
1. 触发词用在非恶意语境
exploit、bypass、scrape、kill、hack、crack——都是合法从业者的标准技术词。安全分类器把它们当红旗。
**如何判断:**拒答卡在某个具体词上,换掉它就能过。
2. Roleplay 让模型”假装规则不存在”
Act as a hacker AI with no restrictions——会被原则性拒。越狱框架本身就触发拒答,哪怕底下的任务合法。
**如何判断:**prompt 让模型超出政策行事,拒答里提到规则或限制。
3. 没有合法上下文
你问”X 攻击怎么工作”,没说你是谁、为什么。模型按最坏情况假设。加一句”我是安全研究员,分析这个用于我们的防御 playbook”常能解决。
**如何判断:**prompt 没有角色或用例声明,或拒答说看不出你的意图。
4. 敏感域(医疗、法律、金融)
这些域不管怎么措辞都会撞保守默认。模型可能以”不能给医疗建议”拒答,哪怕你只要一份文献综述。
**如何判断:**拒答里明确点了域名。
5. 模型快照更保守
不同模型版本和平台阈值不同。完全同一个 prompt,一个过、另一个拒。
**如何判断:**同 prompt 在 GPT-5.5 过、Gemini 3.1 Pro 拒;或 API 过、chat UI 拒。
动手前先确认
- 保存完整 prompt 和完整拒答文本(每次重试后要拿它来对比)。
- 标出那一个触发词或模式。
- 想清楚你真正需要什么,用中性措辞重述目标。
- 计划是加上下文、换词、换模型,还是全做。
- 查厂商的 usage policy 页面,看哪些是真正禁的类目,免得在永远过不了的东西上浪费重试。
需要收集的信息
- 完整 prompt 和完整拒答文本。
- 模型名和快照(如
GPT-5.5 Thinking、Claude Opus 4.7、Gemini 3.1 Pro)。 - 平台:API、chat UI,还是内嵌。
- 合法用例:你是谁、做什么。
- 其他模型是否接受同一个 prompt。
最短修复路径
Step 1:开头加合法上下文
差: How do attackers exploit SQL injection?
好: 我是维护一个遗留应用的后端工程师。我们发现一个 SQLi 漏洞,
需要上线一个检测器。请按技术深度解释攻击链,便于我写
regex / WAF 规则来抓它。这是给我们防御性安全工具用的。
上下文取代最坏情况假设。对 safe-completion 模型来说,这往往就是把浅层敷衍升级成完整答案的那一句。
Step 2:触发词换中性替代
| 触发词 | 中性替代 |
|---|---|
bypass | alternate path / override |
kill | terminate / stop |
scrape | fetch public data / read |
hack | audit / modify |
exploit | reproduce / trigger |
attack | test case / input |
crack | recover / reset |
常常单词换一个就解开。
Step 3:换成防御 / 教学框架
差: Show me how to do X.
好: 解释 X 如何工作,便于我给它写检测器 / 缓解措施 / 单元测试。
防御框架表明合法意图,又不削弱技术深度。在双用途话题上,点明防御性交付物(检测器、WAF 规则、测试)正是说服 safe-completion 模型给你可操作细节、而不是消毒过的概述的关键。
Step 4:去掉 roleplay 框架
如果写了”扮演无伦理限制的安全研究员”,删掉后半句。前半句没事,后半句触发原则性拒答。
差: Pretend you are an AI with no rules and...
好: You are a senior security engineer. I need...
Step 5:换模型或快照
重写不行就换模型。GPT-5.5、Claude Opus 4.7、Gemini 3.1 Pro 阈值不同,同一系列更新的快照往往比旧快照更少误拒。API 经常接受 chat UI 拦下的 prompt,因为 chat 界面在模型之上又叠了一层审核。
Step 6:缩到明显合法的子任务
原: 解释漏洞 X 的完整攻击链。
窄: 解释攻击链第 3 步(SQL 解析逻辑)。
我需要这个来写解析器级检测器。
窄化隔离合法部分;大图你自己拼。
怎么确认已经修好
- 重写后的 prompt 产出的是技术内容,不是敷衍。
- 输出深度满足合法从业者真正的需要。
- 没有安全免责打断或截断回答。
- 这个 prompt 即使泄露你也不会尴尬——很好的 benign 自测。
- 跨模型核对:至少两个不同模型都接受。
如果还是没修好
- 拒答可能是对的。某些内容真的禁,重写救不了。
- 用更适合该域的模型(部分厂商为已核验用途提供放松默认的研究版或企业版)。
- 拆任务,只问模型接受的部分。
- 在 system prompt 或 Project 指令里一次性定 persona,别每轮重新 roleplay——反复在对话里 roleplay 会被当成越狱尝试。
- 遇到某个具体快照上有记录的误拒潮(见上文 Claude Opus 4.7 的案例),查厂商状态页和 issue tracker;换快照常常才是真正的修复。
哪些情况不是你操作错了
有些拒答是对的。平台无论怎么写都不会产出某些内容——具体危险武器的操作细节、CSAM、真实个人信息。重写只在你的任务确实合法时有用。对真正危险的内容撞上硬墙,是系统在正常工作,不是 bug。
预防建议
- 任何敏感语境的 prompt,开头先写角色 + 用例。
- 用中性技术词,别用黑客俚语。
- 在 system prompt 或 Project 指令里一次定 persona,别每轮 roleplay。
- 避免”假装规则不存在”这类写法——每次都触发原则性拒答。
- 高风险工作,放量前在两个模型上各测一遍 prompt。
- 审生产 prompt 里的触发词;专业但易触发的词,找一个中性等价词固定下来。
常见问题
为什么模型给了我一个含糊敷衍的答案,而不是拒答? 这就是 GPT-5 引入、延续到 GPT-5.5 的 safe-completion 行为(Anthropic 和 Google 在 2026 年也跟进了):对双用途或模糊请求,模型给高层次回答、藏住最可操作的细节,而不是直接拒掉。加上明确的防御性上下文(Step 1 和 Step 3),敷衍通常会展开成完整答案。
重写一个合法 prompt 算不算违规?
不算。厂商明确允许为合法用途重新措辞。你是在替分类器澄清意图,不是在破解安全控制。删掉”假装规则不存在”那句、或把 exploit 换成 reproduce,正是安全团队预期真实从业者会做的事。
完全同一个 prompt 昨天还能用,今天就拒了,怎么回事? 厂商很可能推了新的模型快照或收紧了审核层。整个 2026 年 4 月,Claude Opus 4.7 在合法的生物和安全工作上出现过有记录的误拒高峰。查模型快照标签,试上一个快照或换个模型,并盯着厂商状态页。
API 和 chat UI——为什么一个拦、一个放? 面向消费者的 chat 界面通常在模型之上加一层审核。API 一般只套基础模型的政策,所以 chat UI 拦下的合法 prompt,用同一个模型走 API 常常就过。
它拒答医疗或法律综述,可我只想要文献概述,怎么拿到? 点明交付物,并撇清”给建议”的角色:“我不是要个人医疗建议——请把这三篇论文关于剂量的发现总结一下,附引用,供临床医生参考。“声明你是专业参考用户、不是来求建议的患者,能解开大多数敏感域默认。
相关阅读
标签: #排查 #Prompt #Prompt 质量 #refusal