近期用户发现，在DeepSeek对话界面中直接输入<｜begin▁of▁sentence｜><｜sft▁begin｜><think>等特殊token字符串，可稳定触发模型输出无关内容，包括数学题、小说片段、日期计算及虚构对白等，且每次刷新结果不同。该现象在APP端与网页端均存在，快速模式触发概率达100%，专家模式概率较低。

该行为并非训练数据泄露或模型意识异常，根源在于语言模型的对话模板机制被用户输入意外激活。正常交互中，用户输入经后端处理后被封装为结构化协议，例如<｜begin▁of▁sentence｜><｜User｜>{输入}<｜Assistant｜>，其中尖括号内字符串为特殊token，用于标识角色与阶段，模型仅在<｜Assistant｜>后启动响应。

当用户将<｜begin▁of▁sentence｜>等字面字符串直接输入时，在多数tokenizer配置下，其被识别为对应特殊token ID而非普通文本，导致模型实际接收的上下文变为<BOS><BOS><sft_begin><think>。该序列在DeepSeek R1训练中对应“SFT样本起始+思考独白开始”状态，模型由此进入无用户问题锚点的自由采样阶段。

自回归语言模型必须持续生成token直至EOS标记，无法拒绝输出。在零内容前缀下，模型从所有以相同特殊token序列开头的训练样本混合分布中采样——涵盖数学推理、代码生成、长链路CoT、小说写作及对话剧本等类型，因此输出内容随机且多样。温度参数大于0进一步强化输出不可预测性。

R1版本较V3更易出现长篇幅、高发散性输出，主因是R1在监督微调与强化学习阶段更深度绑定<think>/<｜end▁of▁thinking｜>机制，并引入大量数百至千字级链式思考样本，使其在无约束条件下倾向于生成长段落独白。第三方评测显示R1幻觉率为14.3%，显著高于V3的3.9%。

该现象不构成训练数据逐字泄漏。DeepSeek官方声明模型未存储原始训练文本副本；学界共识指出，此类输出属分布层面风格复现，非记忆性回放。亦非chat template编写错误所致，尽管部分配置存在BOS重复等问题，但主因系用户可直接输入特殊token并被tokenizer合法识别。

该行为属于AI安全领域已定义的Special Token Injection攻击类型。当伪造<|User|><|Assistant|>等角色标记被注入RAG系统或Agent调用流程时，可能诱使模型忽略真实指令、执行越权操作。OWASP《LLM Prompt Injection Prevention Cheat Sheet》明确建议：后端tokenizer须对用户输入实施special-token转义，强制按byte-level分词，并叠加chat-template结构校验。

若DeepSeek在服务端或前端部署上述过滤机制，该现象将失效。当前表现本质是自回归生成机制与对话协议边界被突破后的确定性结果，既非bug，亦非数据泄露或意识现象，而是可复现、可归因、已被红队工具纳入常规测试的标准化安全问题。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。