该论文提出了一种新型后门攻击方法 MetaBackdoor，利用 Transformer 架构中位置编码 (Positional Encoding) 的内在特性作为触发器，而不需要修改输入文本内容。现有的后门攻击大多依赖内容触发器（如特定词语、句子），容易被基于文本异常的防御机制检测。作者的核心洞察是：Transformer 模型在处理有序序列时必须编码 token 位置信息，因此输入长度相关的结构会反映在模型内部计算中，可以被用作非内容触发器。论文展示了即使简单的基于长度的位置触发器也能激活隐匿的后门行为。与之前攻击不同，MetaBackdoor 作用于可见且语义正常的输入，使后门 LLM 在满足长度条件时泄露敏感内部信息（如专有系统提示），甚至出现自激活场景——正常的多轮交互可将对话上下文推至触发区，诱导恶意工具调用行为，而无需攻击者提供触发文本。此外，MetaBackdoor 与基于内容的后门正交，可组合使用以创建更精确、更难检测的触发条件。实验证明该方法在多种 LLM 架构上有效。该工作扩展了 LLM 后门的威胁模型，揭示了位置编码这一被忽视的攻击面，对现有侧重文本异常检测的防御策略提出了挑战。