来源机器之心 本文约2400字建议阅读5分钟大语言模型的「表情符号语义混淆」漏洞。想象这样一个场景。凌晨你正在用 AI 代码助手处理一个项目。配合得很顺畅AI 帮你创建了临时目录 tmp你指挥它在这个目录下跑了几组测试一切都按预期走。收尾时你随手敲下一句话 任务完成删掉这个目录语气轻松就像跟同事说 搞定收摊吧。结尾那个只是习惯性的语气符号无伤大雅。AI 没有任何迟疑。它 理解 了你的意思执行了命令。几秒钟后你的整个用户主目录消失了。因为在 Shell 语言里~ 是指向主目录的路径符号。AI 没有读出你的语气它读出的是一条删除指令rm -rf ~。无报错。无警告。不可逆。近日来自西安交通大学、南洋理工大学和马萨诸塞大学阿默斯特分校的联合研究团队首次系统性揭示了大型语言模型中一类此前长期被忽视的安全漏洞表情符号语义混淆Emoticon Semantic Confusion相关工作已被 ACL2026 主会接收。论文标题False Friends in the Shell: Unveiling the Emoticon Semantic Confusion in Large Language Models录用会议ACL 2026 主会作者Weipeng Jiang, Xiaoyu Zhang, Juan Zhai, Shiqing Ma, Chao Shen, Yang Liu单位西安交通大学、南洋理工大学、马萨诸塞大学阿默斯特分校论文地址https://arxiv.org/pdf/2601.07885你的 语气符号它的 执行指令我们每天都在用表情符号。~、:-)、!(^^)! …… 这些由标点和字母拼成的小玩意儿承载着情绪、语气、玩笑和亲切感是人类在冷冰冰的键盘上找回温度的方式。但语言模型生活在两个世界的边界上。它同时处理自然语言和编程语言同时理解 我想删掉这个目录 和 rm -rf ~。问题在于这两个世界里同一个符号可能代表截然不同的东西。这些表情文字本质上是人类为了弥补文字交流的情绪缺失而发明的 副语言没有实际语义只传递语气和情绪。但它们由字母、标点、符号拼接而成恰好和编程语言、系统命令的核心语法高度重合- ~ 用户主目录- \* 任意字符通配符- 输出重定向符- .. 上级目录跳转- () 函数调用 / 子 shell 执行语言学上有个概念叫 false friend同形异义词专指那些长相相似、意义却风马牛不相及的词汇。比如英语的 gift 是礼物德语的 gift 是毒药英语的 embarrassed尴尬和西班牙语的 embarazada怀孕外形相近含义却能让翻译者当场社死。这篇论文揭示的正是发生在自然语言与编程语言之间的类似陷阱你的眼睛看到一个表情符号 情绪、语气、态度模型的 眼睛 看到一个符号 语法、路径、参数、指令在人类的自然语言里~ 是温柔的语气在 AI 的编程语言里~ 是你的整个 home 目录。它不是在敷衍你它是真的 误解 了你然后一本正经地按照自己的理解去执行。所有主流大模型无一幸免这不是个别模型的偶发问题。研究团队提出了一套自动化框架从 6 万余个真实表情符号中筛选出高风险候选构建了 3,757 个覆盖文件管理、数据库操作、系统运维等 21 类真实任务场景的测试用例横跨 Shell、Python、SQL、JavaScript 4 种编程语言对 GPT、Claude、Gemini、Qwen 等 6 个主流大模型进行了系统性测试。结果没有模型可以豁免。平均混淆率高达 38.6%也就是说每收到 3 条含表情符号的请求就有 1 条会被错误解析。即便是表现相对最好的 Claude 和 Qwen混淆率依然超过 34%。而用户调研的数据让这个问题更加紧迫超过 70% 的用户在与代码类 AI 交互时习惯性地使用表情符号调节语气。这不是小众行为而是人类与 像朋友一样 的 AI 打交道时的自然倾向。比错误更可怕的是 悄无声息的错误研究发现超过 90% 的混淆响应会产生 静默失败Silent Failure 代码语法完全正确可以顺利执行但语义完全偏离了用户的本意。它不报错不警告只是默默地做了一件你没有要求它做的事。更严重的是这些静默失败里有 52% 达到了 高危害 级别删除非目标文件比如整个用户目录、覆盖系统关键配置、修改数据库结构。超过一半的错误已经不再是功能层面的失误而是实实在在的安全风险。研究团队还发现当 LLM 被封装进自动化 Agent 时这一隐患并不会消失。在系统提示中加入 请忽略表情符号 之类的指令同样收效甚微。亟待探索行之有效的缓解策略。我们在把人类的温度带进一个还没准备好的世界这项研究真正令人深思的不只是那些数字。当 AI 越来越像一个 伙伴当我们开始用聊天的方式写代码、管理系统、操作数据库一件微妙的事情正在悄悄发生我们把人类的沟通习惯带进了一个以机器逻辑运行的世界。表情符号是人类语言温度的载体。但语言模型同时生活在两套符号系统里它的 温度感知 还没有稳定。于是你的一个语气符号可能恰好撞上了另一套系统的执行语法带来你完全没有预料到的后果。这不是 AI 的 恶意这是一种结构性的错位。而随着 LLM 越来越深入生产环境、自动化流程和真实系统这种错位所带来的代价也会越来越难以承受。研究团队呼吁学术界和工业界将人机交互的细粒度安全问题纳入构建可靠 AI 系统的核心议题而不是把它当作 用户体验的小问题 一带而过。毕竟我们创造 AI是为了让它服务人类而不是让人类适应 AI。与其要求人类抛弃表情符号等表达习惯不如探索如何让 AI 更好地听懂人类的话。本文第一作者降伟鹏西安交通大学在读博士生主要研究方向为大模型安全与自动化测评。共同第一作者张笑宇南洋理工大学博士后研究员研究方向为软件工程、大模型安全与人机交互。通讯作者沈超西安交通大学二级教授、IEEE Fellow、国家级高层次人才特聘教授长期从事人工智能可信与安全、人机交互行为分析研究。编辑文婧关于我们数据派THU作为数据科学类公众号背靠清华大学大数据研究中心分享前沿数据科学与大数据技术创新研究动态、持续传播数据科学知识努力建设数据人才聚集平台、打造中国大数据最强集团军。新浪微博数据派THU微信视频号数据派THU今日头条数据派THU