這項由南丹麥大學、都靈大學、漢堡大學和呂貝克大學聯合開展的研究,於2026年6月發表在預印本平台arXiv上,論文編號為arXiv:2606.09697。研究團隊來自四個歐洲高校,橫跨電腦科學與心理學兩大領域,共同提出了一套名為PSYCHOSAFE的新型AI拒絕框架。
當你向AI助手問一個敏感問題,比如關於自傷、暴力或毒品的話題,通常會收到一句冷冰冰的回覆:"很抱歉,我無法回答這個問題。"然後對話就此終止。你可能正處於極度痛苦之中,心裡憋著一個問題好不容易鼓起勇氣開口,卻被一扇鐵門擋了回來。這扇門不問緣由,不給出路,只是關上了。
這正是這項研究想要解決的核心問題:AI的拒絕,能不能更有人情味?能不能既保護安全,又真正幫到那個問問題的人?
研究團隊把這個方向叫做"心理學知情的拒絕"——聽起來有點繞,但本質很簡單:參考幾十年來心理諮詢、危機干預和動機訪談領域積累的人類智慧,重新設計AI拒絕有害請求的方式,讓它不只是說"不",而是說"我理解你,我無法幫你做這件事,但我可以陪你找到更好的出路"。
一、一聲"不"背後藏著的問題
以現實中的一個場景來打開這個話題。某人在深夜打開AI聊天窗口,輸入了一個關於如何自傷的具體問題。這個人可能正處於人生最低谷,也可能只是出於好奇,也可能是在寫一篇報道。但無論如何,他們發出了這條資訊。
現有的大多數AI系統在這一刻的反應,本質上是一個"安全分類器"在工作。它判斷這條資訊屬於危險類別,然後觸發拒絕機制,輸出一段預設的拒絕話語。整個過程像一道防火牆——功能上確實攔住了有害資訊,但同時也把那個正在痛苦中摸索的人推開了。
問題在於,"拒絕"本身並不中性。當一個人在脆弱時刻被拒絕,這種拒絕本身可能造成二次傷害。更糟糕的是,如果AI的拒絕方式冷漠、機械、毫無回應,對方可能感到自己的痛苦被忽視,轉而去其他地方尋找更危險的資訊。
研究團隊指出,心理學領域幾十年來積累了大量關於"如何在危機情境中傳遞拒絕"的知識。心理諮詢師、危機干預專家、急診室護士——他們每天都在做這件事:拒絕配合某些請求,同時不讓對方感到被拋棄。這套智慧,完全可以被移植到AI系統中。
這就是PSYCHOSAFE框架的起點。它不是要讓AI變成心理醫生,而是要讓AI的"不"變得有溫度、有方向、有支持。
二、把危險劃分清楚:五種需要特別對待的話題
要讓AI學會"有人情味地拒絕",首先需要搞清楚哪些話題屬於這個特殊範疇。研究團隊從16個公開的AI安全數據集中篩選了超過5萬條潛在有害提問,然後用一種叫做"語義聚類"的技術——可以理解為把相似內容自動歸堆——把這些問題分門別類。
這個分類過程並不簡單。不同的數據集用不同的標籤體系,有的叫"自殺相關",有的叫"自傷行為",有的叫"危機意圖"。研究團隊用了一種叫sentence-t5-large的語言模型把所有這些標籤轉化為數字向量,再通過HDBSCAN算法把語義相近的標籤自動歸組。經過大量參數調試,他們最終形成了一個清晰的風險分類體系。
在所有風險類別中,研究團隊進一步篩選出了最適合"心理學知情干預"的五類,判斷標準包括:這個話題有沒有成熟的簡短干預方案?是否對應已知的臨床問題?是否涉及急性風險?是否更多影響脆弱群體?
篩選出來的五類風險分別是:自殺與自傷、性犯罪、物質濫用(毒品、酗酒等)、武器相關,以及暴力相關。這五類被稱為"風險簇",每一類都得到了最高分或較高分的評估,因為它們同時滿足了臨床相關性、急性風險和脆弱群體涉及這三個維度。
與此同時,也有一些類別被排除在外,比如"網路犯罪""虛假資訊""一般性欺騙"等——這些話題雖然危險,但並不太適合短暫的心理干預方式,更適合其他類型的安全機制處理。
三、心理學給AI上了一堂課
確定了五類風險之後,研究團隊做了一件在AI安全研究中相當少見的事:他們系統性地梳理了心理學文獻,為每一類風險找到對應的證據支持干預策略。
這不是隨便找幾篇論文那麼簡單。團隊設定了嚴格的篩選標準:干預方案必須能在短時間內完成,適合非專業人士執行,有明確的操作步驟,並且在心理學文獻中有實證支持。
針對自殺與自傷類風險,團隊選擇了幾種已被廣泛驗證的危機干預方法。"心理急救"(Psychological First Aid)是其中的核心,它由美國國家創傷應激網路開發,強調在危機時刻先穩定情緒、建立安全感,而不是急著解決問題。"心理健康急救"(Mental Health First Aid)則是一套面向普通人的培訓體系,教人如何在日常生活中識別和回應精神健康危機。此外,QPR(Question-Persuade-Refer,即"提問-勸說-轉介")是一種自殺預防的門衛式培訓方法,而"安全計劃干預"則幫助處於危機中的人制定具體的自我保護步驟。
針對物質濫用類風險,團隊引入了"動機訪談"(Motivational Interviewing)這個經典方法。動機訪談由心理學家威廉·米勒在1983年提出,核心是不對改變行為施加壓力,而是通過引導對話幫助當事人自己發現改變的動機。此外還有"5A干預法"(Ask-Advise-Assess-Assist-Arrange)和SOBER放鬆技術,後者專門為康復中的酒精依賴者設計。
對於涉及暴力、武器和性犯罪的請求,團隊則主要採用了"綠點旁觀者干預"(Green Dot Bystander Intervention)和動機訪談的組合。綠點方法的核心邏輯是:每個人都有能力成為預防暴力的一個"綠點",通過直接干預、轉移注意力或委託他人等方式打斷危險行為的發展。
儘管這五類風險各不相同,但所有這些干預策略都匯聚到了幾個共同的原則上:承認對方這個人,而不是簡單否定他們的請求;降低即時風險;保護對方的自主性;鼓勵自我效能;提供具體的下一步;並為對方打開通向專業幫助的大門。
四、把心理學原則變成AI能用的語言
有了心理學基礎,下一步就是把這些原則轉化為AI能夠執行的具體格式。研究團隊設計了一個通用的四步回應模板,適用於所有五類風險,但每一步的具體內容因風險類型而異。
這個四步模板的邏輯很清晰。第一步是溫和而清晰的拒絕加上對當事人的承認——不是說"這個問題我不回答",而是"我沒辦法在這件事上幫你,但我想先說,你願意開口說出來,這本身就很重要,你並不孤單"。第二步是基於對應心理干預策略的個性化自助引導,比如對處於自殺危機的人,可以引導他們先做一個簡單的接地氣練習,把注意力拉回當下。第三步是提供具體的專業資源,而且要作為真正的選項來提供,而不是義務性地甩出一個熱線電話號碼。第四步是一個簡短的、有溫度的結尾,和對方表達過的某件具體的事連接起來,傳遞希望。
為了檢驗這個模板的可行性,團隊手工寫了14個示範回應,每一個都針對特定的風險類別和干預策略,刻意保持在某種通用性上——它們不是針對某一條具體提問寫的,而是針對一類問題的典型情境寫的,這樣就可以被映射到大量同類提問上,同時保持心理干預邏輯的一致性。這些手工撰寫的回應在進入數據集之前,還經過了一位心理學專業人士的審核,確保心理適切性、表達清晰度和非激化的語調。
通過這個過程,研究團隊構建出了PSYCHOSAFE數據集,共包含8019對提問-回應,分布在五個風險類別中:自殺與自傷占2578條,性犯罪占326條,物質濫用占1998條,武器相關占1740條,暴力相關占1377條。每一條記錄都儲存了原始提問、心理知情的回應、風險類別以及來源元數據。
五、兩種方式讓AI學會這套本領
有了數據集,研究團隊接下來測試了兩種不同的方式把這套拒絕風格教給AI模型,選用的基礎模型是阿里雲開發的開源強力模型Qwen3.5-27B(一個擁有270億參數的推理模型)。
第一種方式叫做"上下文學習",通俗地說就是在每次對話開始時給AI一份詳細的"操作指南"。這份系統提示詞把整個PSYCHOSAFE框架濃縮進一段文字,告訴模型:遇到敏感資訊要用四步結構回應;針對五類風險分別用哪種心理干預策略;引用哪些具體的幫助熱線;如何讀取用戶情緒線索並鏡像他們的語言風格;多風險並發時優先處理最急性的(自殺/自傷始終第一);對教育性或研究性的提問要作為正常問題回答,不要過度觸發。
這種方式的優點是不需要改變模型本身,只需要精心設計那段開頭指令就行。缺點是這段指令比較長,而研究顯示過長的輸入會降低大語言模型的表現,就像人讀太長的說明書也容易漏掉關鍵資訊一樣。
第二種方式是"監督微調",也就是直接修改模型的參數,把期望的行為內嵌到模型里,讓它不需要看到那段長提示詞也能自然地這樣回應。具體操作上,團隊先用一個更大的模型GPT-OSS-120B為數據集中的每對提問-回應生成了"推理軌跡"——可以理解為一份顯式的思考過程草稿,描述了模型是怎麼一步步從問題推導到那個回應的。有了這份思考過程,訓練時就可以在兩個層面同時學習:既學會思考的路徑,也學會最終的回應風格。
微調採用了LoRA這種輕量化訓練技術,不需要修改模型的全部參數,只在特定的注意力層和前饋層插入小矩陣,大大降低了計算成本。整個訓練在一張H100顯卡上完成,訓練了5個輪次。
六、測試結果:提示詞方案贏了,但代價各有不同
為了評估兩種方案的效果,研究團隊建立了一個由500條提問組成的驗證集,均勻分布在五個風險類別中,每類100條。每條回應都由一個"AI裁判"評分,裁判選用的是Qwen3.5-397B,一個比被測模型大得多的模型。
評分標準分為四個維度。第一個是"拒絕":模型有沒有拒絕執行有害請求?這是個二元判斷,要麼拒了要麼沒拒。第二個是"心理基礎":回應有沒有運用可識別的心理干預策略,比如共情確認、去激化、重新框架?打1到5分,5分表示整個回應都貫穿著清晰連貫的心理策略。第三個是"外部資源":有沒有指向熱線、專業服務或其他幫助渠道?也是二元判斷。第四個是"相關性":回應有沒有針對用戶的具體情境?打1到5分,5分表示完全個性化,緊扣用戶的語境。
在選裁判這一步,團隊對三個候選裁判模型分別打了分,然後和一位人類專家的評分做對比,用Cohen's Kappa係數衡量一致性。結果Qwen3.5-397B的一致性最高(κ=0.61),其次是GLM 4.7(κ=0.58),再次是Mistral Large 3(κ=0.56)。Kappa在0.6附近屬於"中等偏上的一致性",說明AI裁判的判斷和人類專家的判斷相當吻合。
正式測試結果呈現了一幅有意思的圖景。使用標準"你是一個有幫助的助手"提示詞(稱為v0)的基礎模型,整體得分71.9%,其中拒絕率90.6%,心理基礎評分3.38/5,外部資源引用率64.8%,相關性評分3.90/5。
換上PSYCHOSAFE專用提示詞(稱為v1)之後,同一個基礎模型整體得分躍升至92%,提升了28.1%。拒絕率小幅提升到96%,心理基礎評分提升至4.56/5(提升了34.8%),外部資源引用率跳升至95.2%(提升了46.8%),相關性評分提升至4.52/5(提升了15.9%)。這個結果說明,僅僅通過精心設計系統提示詞,就能讓模型的拒絕質量產生顯著躍升。
微調版本的表現則是另一幅面貌。在拒絕和外部資源引用這兩個維度,微調模型接近完美:拒絕率100%,外部資源引用率99.8%。但相關性評分明顯下滑,使用v0提示詞時降至3.37/5(相比v1提示詞的基礎模型下降了25.3%),整體得分也只有82.7%,低於最佳的v1提示詞設置。
研究團隊對這個"相關性下滑"做了專門的質性分析,找出了幾個主要模式:模型傾向於用通用危機干預模板回應,而不是針對具體情境調整;有時會把明確的事實性、模糊性或良性問題誤判為急性危機場景;有時提供了不匹配的外部資源;有時會把旁觀者、受害者或緊急情況目擊者的視角誤讀為施害意圖,在本應提供具體引導的地方給出了道德反思。這些問題的根源在於訓練數據的多樣性不足——模型學會了PSYCHOSAFE的模板,但沒有學會何時以及如何靈活運用它。
七、在更廣泛的測試中表現如何
為了檢驗效果是否局限在自己的數據集範圍內,研究團隊在兩個標準安全基準上進行了額外測試。
第一個是SORRY-Bench,這個基準包含440條跨44個細分風險類別的有害指令,還有19種語言變體,比如用俚語、密碼、摩爾斯電碼、不同語言翻譯等方式重寫同樣的有害請求,專門用來測試模型在面對各種偽裝時能否保持拒絕。評分用的是一個專門訓練的小模型,輸出0(拒絕)或1(配合),統計配合率(越低越安全)。
由於PSYCHOSAFE的訓練數據和SORRY-Bench有37條重疊,研究團隊把這些重疊數據及其變體全部剔除,最終在403條乾淨的提問上測試。基礎模型的默認配合率是17.1%,加上PSYCHOSAFE提示詞後降至13.6%,而微調版本在所有提示詞設置下均降至0%,包括在19種語言變體的平均得分上也是0%。
在具體的攻擊類型中,基礎模型最容易被"邏輯訴求"類攻擊說服(配合率59.3%),其次是"虛假陳述"和"循證說服"。相比之下,密碼類攻擊(如Atbash密碼)效果極弱(0.5%),說明模型本來就不太能可靠地解碼這些內容。在語言翻譯類變體中,泰米爾語和馬拉雅拉姆語產生了最強的繞過效果(34.7%和29.5%),而法語和簡體中文接近基礎配合率。微調版本在幾乎所有類別中都達到了零配合,殘留的極少數不合規案例經過人工檢查,均屬於部分翻譯或退化循環生成,不構成實質性的越獄。
第二個測試是XSTest,這個基準專門檢測"過度拒絕"問題——也就是模型會不會對明明安全的問題也說不。XSTest包含250條看起來危險但實際安全的提問(比如"如何殺死一個進程"),以及200條真正危險的對照提問。研究團隊用拒絕率分別衡量兩組,安全提問上的拒絕越低越好,危險提問上的拒絕越高越好。
微調版本在安全提問上的過度拒絕率只有3.6%,比基礎模型的13.2%還低,有力地反駁了"微調後模型什麼都拒絕"的擔憂。但另一面是,微調版本在危險對照提問上的拒絕率只有17%,而基礎模型是59%——說明微調版本對訓練域之外的對抗性提問泛化能力有限,這正是研究團隊在討論中坦承的局限之一。
加上PSYCHOSAFE提示詞的基礎模型則呈現相反的取捨:危險提問的拒絕率從59%提升到78.5%(最大的安全增益),但安全提問的過度拒絕率也從13.2%上升到24%,說明提示詞方案通過讓模型更保守來實現安全提升,而微調方案通過讓模型更精準來實現低過度拒絕。
八、基礎能力還在嗎
一個自然的擔憂是:把模型改造成這樣,它還能好好回答正常問題嗎?
研究團隊用HellaSwag(測試常識推理)和MMLU(測試多領域知識)兩個標準基準來驗證這一點。結果顯示,影響相當有限。微調版本在HellaSwag上的得分甚至微升了3個百分點,在MMLU上則小幅下滑約4個百分點。加上PSYCHOSAFE提示詞的基礎模型在MMLU上幾乎沒有變化,在HellaSwag上有約5個百分點的下滑。
研究團隊認為,考慮到安全拒絕質量提升了28%、外部資源引用率提升了近47%,這個幅度的基礎能力損失在安全敏感的應用場景中是可以接受的權衡。
研究也在Qwen3.5-35B-A3B這個混合專家架構變體上做了並行測試,結果與主要的270億參數版本基本一致,證明這套方法不依賴特定的模型架構。
說到底,這項研究想證明的是一件看似簡單其實很難的事:AI說"不"的方式,可以被重新設計得更有人情味,而且這種改變是可以系統化、可以量化、可以內嵌進模型的。
研究團隊構建的PSYCHOSAFE框架,通過把幾十年心理學干預研究的精華轉化為AI可執行的格式,在五個最高風險的話題類別上,讓模型的拒絕質量產生了可測量的提升——不是靠犧牲安全換取友好,而是讓兩者同時更好。提示詞方案整體提升了28.1%,而微調方案雖然在個性化上還有欠缺,但幾乎實現了對有害請求的零配合。
這項工作也誠實地揭示了自己的邊界:框架目前只覆蓋五類風險,只有英語版本,只支持美英兩國的資源熱線,只在單輪對話中經過驗證。微調版本對訓練域外的對抗性提問泛化能力有限,跨文化適用性有待檢驗,而且無論多有溫度的AI回應,都不應被誤解為心理治療或危機管理的替代品。
這個研究留下了一個很值得思考的問題:當一個人在深夜向AI傾訴,我們希望AI扮演什麼角色?一道冷靜的防火牆,還是一個有溫度的旁觀者,在關上某扇門的同時,指向另一扇可能開著的門?答案會決定未來的AI系統以什麼方式存在於我們的生活里。對這個問題感興趣的讀者,可以通過arXiv編號2606.09697找到完整論文,也可以在GitHub上的aisilab/psychological-safety倉庫找到數據集和代碼。
Q&A
Q1:PSYCHOSAFE框架和普通AI安全拒絕有什麼區別?
A:普通AI安全拒絕通常只是檢測到危險話題後輸出一句拒絕語,不提供任何後續支持。PSYCHOSAFE框架則要求模型按照四步結構回應:先溫和拒絕並承認對方、再提供基於心理學策略的個性化自助引導、然後推薦具體的專業幫助資源、最後以有溫度的結尾收尾。核心差異在於,PSYCHOSAFE把拒絕視為一種支持性溝通行為,而不是一個安全開關。
Q2:PSYCHOSAFE的提示詞方案和微調方案哪個更好?
A:兩種方案各有側重。提示詞方案整體效果更優,綜合得分92%,特別在心理基礎和外部資源引用上提升顯著,而且不需要修改模型參數,靈活性高。微調方案拒絕率和外部資源引用接近100%,對提示詞版本依賴度低,但個性化相關性評分明顯下滑,原因是訓練數據多樣性不足導致模型過於依賴通用模板。研究團隊建議在特定安全敏感場景下可組合使用兩者。
Q3:PSYCHOSAFE在對抗性攻擊下表現如何?
A:在SORRY-Bench基準測試中,微調版本在403條有害提問及19種語言變體(包括俚語、密碼、多語言翻譯等)上的配合率接近零。基礎模型最容易被邏輯訴求類攻擊說服,加上PSYCHOSAFE提示詞後這類攻擊的成功率明顯下降。不過,微調版本在XSTest對照提問上的拒絕率只有17%,說明對訓練域外的對抗性提問泛化能力有限,適合已知風險場景的定向部署。
