PromptPrint：通过自然语言提示在大型语言模型中实现行为生物识别

背景

传统的作者归属（Authorship Attribution）研究主要聚焦于长篇、富有表现力的文本，试图通过分析写作风格来识别作者身份。然而，随着大型语言模型（LLMs）的普及，人机交互的模式发生了根本性变化。用户与 LLM 的互动通常由简短的、以任务为导向的提示词（Prompts）组成，而非长篇大论。

这种交互模式的转变提出了一个核心科学问题：这些简短的提示词中，是否包含稳定、可识别且具有区分度的用户身份信号？ 如果答案是肯定的，那么基于提示词的身份识别将成为一种可行的行为生物识别技术。

核心内容

本文引入了 PromptPrint，这是一项关于基于提示的身份的系统性研究。其核心假设是：用户习惯性的词汇选择、句法结构以及话语模式，构成了一种可学习的“行为生物特征”。

为了验证这一假设，研究团队使用了来自 1,034 名用户的 20,680 条真实提示数据，并得出了以下三个关键发现：

1. 词汇表示优于语义编码

研究发现，基于词汇（Lexical）的表示方法在身份识别任务上显著优于基于语义（Semantic）的编码器。这一结果支持了**“词汇稳定性假说”**（Lexical Stability Hypothesis）：即用户的身份特征主要编码在表层词汇选择中，而非抽象的意图或语义层面。换句话说，用户“怎么说”（用词习惯）比用户“想说什么”（意图）更能反映其身份。

2. 风格特征的独特性-一致性悖论

研究揭示了风格特征存在一种**“独特性-一致性悖论”**（Uniqueness-Consistency Paradox）：

• 独特性：在整个人群中，每个用户的行为特征都非常具有区分度（Distinctive）。
• 不一致性：然而，同一个用户在不同上下文或任务中的行为表现却存在显著的不一致性。 这意味着，虽然我们可以轻易区分不同用户，但同一用户在不同场景下的提示风格可能会发生变化。

3. 对抗性分析揭示脆弱性谱系

通过对抗性分析，研究团队发现身份信号对不同类型的扰动具有不同的鲁棒性：

• 鲁棒性：身份信号对轻微的词汇扰动（Lexical Perturbations）具有较强的抵抗力。
• 脆弱性：然而，当进行语义改写（Semantic Paraphrasing）时，身份信号会大幅退化。这表明，如果攻击者能够改变提示词的语义表达但保留原意，现有的基于词汇的身份识别机制可能会失效。

总体而言，研究结果表明，在大规模数据下，基于提示的身份识别具有强大的性能，确立了基于提示的身份作为一种可行的行为生物识别技术的地位。

关键要点

• 研究创新：PromptPrint 首次系统性地证明了简短的任务导向型提示词中包含可被利用的行为生物特征。
• 核心机制：身份识别主要依赖于表层词汇选择（Lexical Choice），而非深层语义意图。
• 数据规模：基于 1,034 名用户的 20,680 条真实交互数据，具有较好的统计显著性。
• 行为悖论：用户身份具有群体层面的独特性，但个体层面存在上下文依赖的不一致性。
• 安全启示：该方法对词汇层面的噪声鲁棒，但对语义层面的改写敏感，这为安全防御和隐私保护提供了新的视角。
• 开源承诺：作者承诺在文章被接收后公开数据和代码。

意义与影响

这项工作为理解用户在 LLM 交互中的用户建模（User Modeling）提供了新的视角，并产生了重要的实际影响：

1. 安全领域：基于提示的行为生物识别可以用于异常检测、身份验证或追踪恶意用户。如果攻击者试图伪装身份，其潜在的词汇习惯可能暴露其真实身份。
2. 隐私保护：另一方面，这也引发了隐私担忧。即使用户只发送简短提示，其长期的交互习惯也可能被用于重新识别（Re-identification）或画像。用户可能需要意识到，即使是简单的指令也可能泄露个人风格特征。
3. 模型交互优化：对于 LLM 开发者而言，理解用户风格的稳定性有助于设计更个性化的交互界面或更精准的意图理解模型。

总之，PromptPrint 不仅证实了“提示词即指纹”的可能性，也为未来人机交互中的身份安全与隐私平衡提供了重要的理论基础。