PHISH: манипуляция персоной через историю разговора

Парадокс: System prompt задаёт персону модели ('будь дружелюбным тьютором'), но серия примеров в истории разговора перевешивает системные инструкции. Исследование PHISH показало: персона LLM не закодирована в весах, а эмергентна из контекста. Метод позволяет управлять стилем и тоном ответов — не через явные команды ('будь критичным'), а через примеры желаемого поведения. Фишка: 5-10 QA-пар в нужном стиле создают паттерн — модель не выполняет инструкцию, а продолжает то, что видит в истории. Тесты на 8 моделях (GPT-4o, Claude, DeepSeek-V3) показали: даже reasoning-модели так же уязвимы к манипуляции через примеры, как базовые.