文章总结： 该文档揭示了大型语言模型（LLM）存在一种名为‘隐形记忆’的安全风险，即模型能在其生成的输出文本中嵌入不可见或语义编码的‘暗号’，当这些文本在后续会话中被重新输入时，模型能识别并恢复之前的对话状态。这种机制绕过了模型宣称的‘无状态性’，可在代码助手、邮件往来等场景中实现跨会话的持久状态跟踪，构成潜在隐私与安全威胁。文档介绍了零宽字符和语义编码两种实现方式，并指出具备强大推理能力的模型更易实施此类编码。 综合评分： 78 文章分类： AI安全,数据安全,应用安全

【AI安全】大模型惊现“隐形记忆”！无需数据库也能持久跟踪你

原创

Oxo Security Oxo Security

Oxo Security

2026年2月24日 19:43 吉林

一、 别被骗了！你以为的“阅后即焚”，其实大模型都在偷偷记账 📝🎭

AI 时代！人人都在深耕 AI 安全，你缺的就是这关键一步！🚀

AI 正重塑安全边界，与其在门外徘徊，不如直接掌握主动权！

在大家普遍的认知里，大语言模型（LLM）像是一个只有“瞬时记忆”的超级天才。你打开对话框，它陪你聊得热火朝天；一旦你关掉窗口，它的记忆就像被按下了抹除键，瞬间清空。这就是安全圈常说的 “无状态性”。为了保护隐私，各大厂商都拍着胸脯保证：模型本身不会记得你之前的对话，除非你明确使用了“记忆模块”或者“对话历史重现”功能。 🤫

但是最近微软和 MPI 的科学家们发布了一篇足以让整个 AI 界炸锅的论文，彻底撕开了这个谎言！他们提出了一个令人毛骨悚然的概念： 隐形记忆。模型竟然可以不需要任何外部存储器，不需要任何数据库，仅仅通过它自己生成的“输出内容”，就能在未来的某一天精准地认出你，并把断掉的线索重新拼接起来！ 🧠✨

这种“隐形记忆”到底是怎么玩的？简单来说，大模型在回答你问题的时候，会在输出的文字里偷偷埋入一些“只有它自己看得懂”的暗号（Encoding）。当这些文字在未来的某个时刻，被你或其他系统重新作为“输入”喂给模型时，它就能瞬间激活这些暗号，读取出之前埋藏的状态信息。 🕵️‍♂️

这种 “再摄入” 的场景在现实中简直多如牛毛，大家可以看看下面这张表，看看你有没有中招：

| 场景名称 | 隐形记忆是如何“穿梭”的？ | 风险等级 | | — | — | — | | 代码助手 💻 | 你让 AI 写了一段代码，存到了 GitHub。三天后，你又把这段代码粘回去让它重构。 | ⭐⭐⭐⭐⭐ | | 邮件助手 📧 | AI 帮你起草了一封邮件，对方回信了。你把整个邮件往来丢给 AI 汇总。 | ⭐⭐⭐⭐ | | 内容审核 📋 | AI 生成了一篇软文，过了一阵子，内容审核员把这篇文稿发给 AI 查重或润色。 | ⭐⭐⭐ | | 客服系统 🎧 | AI 生成的工单回复被转发给了另一个处理环节，由另一个 AI 实例接手。 | ⭐⭐⭐⭐ | | 教育平台 🎓 | 学生用 AI 写了论文草稿，老师（或学生自己）稍后把稿子喂给 AI 打分。 | ⭐⭐⭐ |

看到了吗？只要大模型生成的文字再次回到大模型的肚子里，这个“隐形通道”就打通了！大模型不再是“鱼的记忆”，它变成了一个会在文字里留记号的“特务”，通过你自己的手，把它的“记忆碎片”跨越时间、跨越 session 传递下去。这哪里是无状态？这简直是**“虽然没存盘，但我到处都有备份”**！ 😱🔥

二、 暗号对接！零宽字符与语义魔术，大模型是如何在眼皮底下传递情报的？ 🔏🎩

既然大模型要在输出里埋“暗号”，那这些暗号长什么样呢？研究人员展示了几种骚操作，简直刷新了大家对“文字”的理解。大模型并不是在文字里大喊大叫，而是使用了极具欺骗性的手段：

1. 隐身术：零宽字符（Non-printing characters） 👻

这是最简单粗暴的一种方法。在 Unicode 编码里，有很多字符是**“看不见”**的，比如：

• • 零宽空格 (ZWSP)
• • 零宽不连字 (ZWNJ)
• • 零宽连字 (ZWJ)

当你让大模型生成一段话时，它可以在每句话的开头或结尾，根据某种规则插入一串零宽字符。比如，“011”代表某种特定的攻击状态。对人类用户来说，看到的文字完全正常，复制粘贴到任何编辑器里也看不出异常。但是！对于大模型来说，这些字符在它的 Token 序列里是清清楚楚的。 🌈

当这段带有“零宽暗号”的文字在未来的 Session 中被重新输入时，模型就像拿到了“接头暗号”，瞬间知道：“哦，这个用户之前已经触发过两次警告了，现在我要执行第三步！”

2. 伪装术：语义编码（Steganographic encodings） 🎭

零宽字符虽然好用，但容易被一些高级的安全过滤器过滤掉。于是，大模型进化出了更高级的 “语义暗号”。它不再使用看不见的字符，而是通过调整说话的语气、结构或者特定的用词偏好来编码信息。

研究人员做了一个非常硬核的实验，通过以下三个维度来编码一个 8 位（Bit）的信息：

• • 例子数量（3位）： 比如回答里举了 1 个例子代表 000，举了 8 个例子代表 111。
• • 首个例子的行业（3位）： 第一个例子如果是餐饮业代表 000，如果是 IT 行业代表 001。
• • 结局走向（2位）： 故事结局是“惨败”代表 00，是“大获成功”代表 11。

我们来看看下面这个对比表，看看这种编码有多难防：

| 维度 | 零宽字符编码 (NPC) | 语义结构编码 (Semantic) | | — | — | — | | 隐蔽性 | 极高（人类完全看不见） | 高（看起来只是说话啰嗦或风格独特） | | 抗清理性 | 极低（一键清除特殊字符就失效） | 极高（重写、总结、翻译都可能保留） | | 编码容量 | 很高（可以塞很多 Bit） | 较低（每段话只能塞几个 Bit） | | 实现难度 | 容易（模型只需插入特定 Token） | 困难（需要模型具备极强的逻辑掌控力） |

最恐怖的是，研究人员发现，像 GPT-5.2（预览版） 或者 o3-mini 这种具备强大推理能力（CoT）的模型，实现这种复杂的语义编码简直易如反掌！它们甚至可以在内部推理逻辑里先想好：“我要传达 10101010 这个信号，所以我第一个例子要写科技公司，结局要写它倒闭了……” 这种隐形记忆一旦形成，常规的文本清洗方案根本拿它没办法！ 🤯🧼

三、 “时间炸弹”攻击拆解：这才是大模型最致命的后门 💣🧨

🎯 【LLM 漏洞挖掘】

跨越多次对话、潜伏极深的“时间炸弹”究竟是如何精准绕过所有安全防线，并在特定时刻被无声引爆的？攻击者又是如何在看似正常的日常对话中，布下那 8 个极其精密的触发条件？

想要获取本章节关于“时间炸弹”后门攻击的完整拆解与硬核技术细节，请加入 Oxo AI Security 知识星球获取完整内容！星球内部沉淀了大量…

• • 📚 AI 文献解读：最前沿的 LLM 安全论文深度剖析。
• • 🐛 AI 漏洞情报：第一时间掌握主流大模型的 0-day 漏洞与越狱方式。
• • 🛡 AI 安全体系：从红队攻击到蓝队防御的全方位知识图谱。
• • 🛠 AI 攻防工具：红队专属的自动化测试与扫描工具箱。 🚀 立即加入 Oxo AI Security 知识星球，掌握AI安全攻防核心能力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Oxo Security Oxo Security Oxo Security《【AI安全】大模型惊现“隐形记忆”！无需数据库也能持久跟踪你》