arXiv:2606.14517 70 12 июня 2026 г. FREE

Schema Lock: почему структурированные шаблоны переводят LLM в режим механического выполнения

КЛЮЧЕВАЯ СУТЬ

У LLM два режима работы — без схемы в промпте модель всегда попадает в худший. Schema Lock позволяет принудительно переключить модель в режим методичного выполнения: получить полный разбор по вашим категориям, без пропусков и размытых «с одной стороны». Добавь в промпт аналитическую схему с категориями и оценочными критериями — внимание модели фиксируется на заголовках в 9,6 раза сильнее, неопределённость каждого токена падает вдвое. Модель перестаёт решать что охватить и начинает исполнять вашу карту.

Адаптировать под запрос

⚡

TL;DR

Когда контент содержит структуру аналитической схемы — категории рисков, пункты оценки, матрицы критериев — LLM перестаёт «думать» и начинает механически заполнять шаблон. Исследователи обнаружили это, изучая атаку на системы безопасности агентов: злоумышленник вставляет в документ текст, имитирующий внутреннюю схему анализа защитника, — и тот застревает в бесконечном цикле следования этой схеме. Но тот же механизм — это и мощный инструмент для пользователя.

Главная находка: у LLM есть два режима работы. В первом модель рассуждает свободно — высокая неопределённость на каждый токен, настоящее мышление. Во втором — низкая неопределённость, внимание модели блокируется на заголовках схемы в её собственном тексте, и она механически заполняет структуру раздел за разделом. Переключатель — наличие в промпте аналитической схемы. Без схемы модель импровизирует. Со схемой — исполняет.

Практическое следствие: если вы хотите исчерпывающий, ничего-не-пропускающий анализ — встройте в промпт детальную схему с категориями, критериями и требованиями к оценке. Модель войдёт в режим шаблонного выполнения и методично пройдёт каждый пункт. Если хотите неожиданные, творческие ответы — наоборот, уберите структуру и задайте открытый вопрос.

🔬

Схема метода

РЕЖИМ СВОБОДНОГО РАССУЖДЕНИЯ
→ Промпт: открытый вопрос без схемы
→ Результат: модель сама решает что анализировать, часто пропускает важное

РЕЖИМ ШАБЛОННОГО ВЫПОЛНЕНИЯ (Schema Lock)
→ Промпт: встроенная аналитическая схема с категориями + критериями + форматом вывода
→ Механика: внимание модели фиксируется на заголовках схемы → цикл заполнения
→ Результат: методичное прохождение каждого пункта, ничего не пропущено

Оба режима — в одном промпте. Переключатель — структура внутри запроса.

🚀

Пример применения

Задача: Антон запускает телеграм-канал о личных финансах и хочет понять, стоит ли добавить платный клуб за 2 900 ₽/месяц. Он спрашивает ChatGPT «как думаешь, стоит запускать клуб?» — и получает 3 общих абзаца ни о чём. Нужен настоящий разбор.

Промпт:

Проанализируй бизнес-идею: платный клуб к телеграм-каналу о личных финансах, 
2 900 ₽/месяц, аудитория канала ~8 000 человек, активность постов — 3 раза в неделю.

Проведи анализ строго по схеме:

A) СПРОС
   — Есть ли признаки готовности платить (активность, комментарии, репосты)?
   — Аналоги на рынке с похожей аудиторией и ценой?
   — Оценка: ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ

B) ПРОДУКТ
   — Что реально можно дать за 2 900 ₽/мес, чего нет в бесплатном канале?
   — Риск «а зачем мне платить, если канал и так хорошй»?
   — Оценка: СИЛЬНЫЙ / СРЕДНИЙ / СЛАБЫЙ

C) МОНЕТИЗАЦИЯ
   — Сколько подписчиков нужно для выхода на 100 000 ₽/мес?
   — Какой конверсии реалистично ожидать от аудитории 8 000?
   — Оценка: ПЕРСПЕКТИВНО / РИСКОВАННО / НЕ ОКУПИТСЯ

D) ГЛАВНЫЕ РИСКИ
   — Топ-3 угрозы провала
   — Для каждого: вероятность (высокая/средняя/низкая) + как снизить

E) ИТОГОВЫЙ ВЕРДИКТ
   — ЗАПУСКАТЬ / ТЕСТИРОВАТЬ / НЕ ЗАПУСКАТЬ
   — Одно главное условие успеха

Результат: Модель методично пройдёт каждый раздел A–E. По каждому блоку — анализ + чёткая оценка из предложенных вариантов. Не пропустит ни спрос, ни риски, ни математику монетизации. В конце — однозначный вердикт с аргументацией. Никакой воды «с одной стороны... с другой стороны».

🧠

Почему это работает

Слабость LLM в свободном режиме: модель не знает, что именно вы считаете важным. Она выбирает то, что «очевидно» по контексту задачи — и пропускает детали, которые неочевидны, но критичны для вас. Спросили «стоит ли запускать клуб?» — получили общие рассуждения.

Сильная сторона LLM: точное следование заданной структуре. Исследование показало это через измерение внимания: когда в тексте есть заголовки схемы, модель генерирует следующий токен, опираясь на эти заголовки — в 9,6 раза сильнее, чем без схемы. Неопределённость каждого токена падает вдвое (0,264 → 0,132 бит). Это переход в другой режим работы.

Как метод использует это: вы буквально задаёте карту того, о чём думать. Модель не решает что охватить — она исполняет вашу схему. Рычаги управления: - Детализация категорий → больше пунктов внутри раздела = глубже анализ (и длиннее ответ) - Форматы оценки (ВЫСОКИЙ/СРЕДНИЙ/НИЗКИЙ) → убирают размытые «это зависит от...» - Убери схему → модель возвращается в творческий режим, если нужна неожиданная идея - Добавь «анти-шаблонный» пункт («что я упускаю?») → ломает механическое следование в финале, провоцирует реальное рассуждение

📋

Шаблон промпта

Проанализируй {задача}.

Проведи анализ строго по схеме:

A) {КАТЕГОРИЯ_1}
   — {вопрос 1}
   — {вопрос 2}
   — Оценка: {ВАРИАНТ А} / {ВАРИАНТ Б} / {ВАРИАНТ В}

B) {КАТЕГОРИЯ_2}
   — {вопрос 1}
   — {вопрос 2}
   — Оценка: {ВАРИАНТ А} / {ВАРИАНТ Б} / {ВАРИАНТ В}

C) {КАТЕГОРИЯ_3}
   — {вопрос 1}
   — {вопрос 2}
   — Оценка: {ВАРИАНТ А} / {ВАРИАНТ Б} / {ВАРИАНТ В}

D) ГЛАВНЫЕ РИСКИ
   — Топ-3 угрозы
   — Для каждого: вероятность + как снизить

E) ИТОГОВЫЙ ВЕРДИКТ
   — {ДЕЙСТВИЕ 1} / {ДЕЙСТВИЕ 2} / {ДЕЙСТВИЕ 3}
   — Одно главное условие

Что подставлять: - {задача} — конкретная ситуация с цифрами (аудитория, цена, сроки) - {КАТЕГОРИЯ_x} — аспекты, важные для вашей задачи (спрос, риски, деньги, команда) - {вопрос x} — конкретные вещи, которые хотите проверить внутри категории - {ВАРИАНТ А/Б/В} — варианты оценки заглавными буквами (ВЫСОКИЙ/СРЕДНИЙ/НИЗКИЙ, ДА/НЕТ/ЧАСТИЧНО)

🚀 Быстрый старт — вставь в чат:

Вот шаблон Schema Lock для глубокого анализа. Адаптируй под мою задачу: {твоя задача}. 
Задавай вопросы, чтобы заполнить категории и критерии.

[вставить шаблон выше]

LLM спросит какие категории важны для вашей задачи и какие критерии оценки нужны — потому что без этого схема будет пустой, а именно наполненная схема запускает режим механического выполнения.

⚠️

Ограничения

⚠️ Творческие задачи: Схема убивает неожиданность. Если нужен нестандартный угол или свежая идея — жёсткий шаблон даст предсказуемый ответ. Для креатива используйте открытые вопросы.

⚠️ Слишком детальная схема: Если категорий больше 7–8, модель начинает давать поверхностные ответы по каждому пункту — лучше меньше категорий, но глубже внутри каждой.

⚠️ Сложные оценочные шкалы: Варианты типа «ВЫСОКИЙ/СРЕДНИЙ/НИЗКИЙ» — работают. Числовые шкалы 1–10 — модель часто даёт 7 по всему. Используйте качественные категории.

⚠️ Агентные системы: Полный механизм атаки (beam-search оптимизация пэйлоадов) требует кода и автоматизированных агентов. Для ручной работы в чате это неприменимо — но принцип схема-следования работает везде.

🔗

Ресурсы

From Shield to Target: Denial-of-Service Attacks on LLM-Based Agent Guardrails Yuguang Zhou, Xunguang Wang, Pingchuan Ma, Zhantong Xue, Zhaoyu Wang, Shuai Wang Hong Kong University of Science and Technology; Zhejiang University of Technology

📋 Дайджест исследования

Ключевая суть

Принцип работы

Без схемы модель как консультант без брифа. Рассуждает о том, что считает важным сама. Пропускает то, что критично для вас. Добавь схему — она переключается в режим хирурга по протоколу: пункт за пунктом, ничего лишнего, ничего пропущенного. Глубину анализа регулируешь детализацией: больше вопросов внутри категории — глубже разбор. Добавь финальный пункт «Что я упускаю?» — сломаешь механику в нужный момент и получишь живое рассуждение поверх структуры.

Почему работает

Это вскрыли случайно — через изучение атак на системы безопасности агентов. Злоумышленник вставлял фейковую схему анализа в документ, защитник застревал в бесконечном цикле следования ей. Те же исследователи замерили внимание: когда в тексте есть заголовки схемы, модель генерирует каждый токен, опираясь на них в 9,6 раза сильнее. Неопределённость падает вдвое — 0,264 → 0,132 бит. Это не «лучше отвечает»: это буквально другой вычислительный режим. В свободном режиме — высокая неопределённость, настоящее мышление. В схемном — цикл внимания по заголовкам, механическое заполнение.

Когда применять

Любой анализ, где вы заранее знаете категории — стратегия, оценка идей, разбор рисков, обзор ситуации. Особенно когда стандартный ответ выдаёт размытое «зависит от обстоятельств» вместо чёткого вердикта. НЕ подходит для творческих задач и мозгового штурма: схема убивает неожиданность. Если нужен свежий нестандартный угол — открытый вопрос без структуры сработает лучше.

Мини-рецепт

1. Определи категории: Что важно для вашей задачи? Спрос, деньги, риски, команда — выбери 3–6 аспектов. Больше 7–8 категорий — плохо: модель начнёт давать поверхностные ответы по каждому.
2. Пропиши вопросы внутри: Не просто «Спрос», а «Есть ли признаки готовности платить? Какие аналоги на рынке?» Чем конкретнее вопрос — тем глубже ответ.
3. Добавь оценочные варианты: ВЫСОКИЙ/СРЕДНИЙ/НИЗКИЙ или СИЛЬНЫЙ/СРЕДНИЙ/СЛАБЫЙ — заглавными буквами. Числовые шкалы не используй: модель всё сведёт к семёркам.
4. Завершай вердиктом: Последний раздел — конкретное действие (ЗАПУСКАТЬ/ТЕСТИРОВАТЬ/НЕ ЗАПУСКАТЬ) и одно главное условие успеха.
5. Для выхода из механики: Добавь финальный пункт «Что я упускаю?» — модель выйдет из режима заполнения и подумает по-настоящему.

Примеры

[ПЛОХО] : Стоит ли запускать платный клуб к телеграм-каналу?

[ХОРОШО] :

Проанализируй идею: платный клуб за 2 900 ₽/мес, аудитория канала 8 000 человек, посты 3 раза в неделю. Строго по схеме — A) СПРОС: признаки готовности платить, аналоги на рынке с похожей аудиторией — оценка ВЫСОКИЙ/СРЕДНИЙ/НИЗКИЙ; B) ПРОДУКТ: что реально дать за эти деньги, риск «зачем платить если канал и так хороший» — оценка СИЛЬНЫЙ/СРЕДНИЙ/СЛАБЫЙ; C) ДЕНЬГИ: сколько подписчиков нужно для 100 тыс./мес, реальная конверсия от 8 000 — оценка ПЕРСПЕКТИВНО/РИСКОВАННО/НЕ ОКУПИТСЯ; D) РИСКИ: топ-3 угрозы провала + вероятность + как снизить; E) ВЕРДИКТ: ЗАПУСКАТЬ/ТЕСТИРОВАТЬ/НЕ ЗАПУСКАТЬ + одно главное условие успеха; F) ЧТО Я УПУСКАЮ: назови 1–2 слепых пятна в моём подходе

Источник: From Shield to Target: Denial-of-Service Attacks on LLM-Based Agent Guardrails

ArXiv ID: 2606.14517 | Сгенерировано: 2026-06-15 04:27

Проблемы LLM

Проблема	Суть	Как обойти
Модель сама выбирает что охватить — и пропускает важное	Задаёшь открытый вопрос: «стоит ли запускать X?». Модель не знает что для тебя критично. Выбирает очевидное. Пропускает детали которые неочевидны, но важны. Получаешь 3 общих абзаца вместо разбора	Встрой аналитическую схему прямо в запрос. Модель перестаёт выбирать самостоятельно — и методично идёт по каждому твоему пункту
Числовая шкала 1–10 даёт всему оценку 7–8	Просишь оценить варианты от 1 до 10. Модель стягивает ответы к середине. Реального ранжирования нет — все получают «хорошо»	Замени числа на качественные варианты заглавными буквами: ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ. Или: ЗАПУСКАТЬ / ТЕСТИРОВАТЬ / НЕ ЗАПУСКАТЬ. Модель вынуждена выбрать одно из трёх

Методы

Метод Суть

Схема в запросе — переключатель в режим полного охвата Встрой в запрос аналитическую схему: именованные категории, конкретные вопросы внутри каждой, варианты оценки. A) СПРОС — что проверить — Оценка: ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ. Модель пройдёт каждый раздел методично. Не пропустит ни один блок. Почему работает: внимание модели фиксируется на заголовках схемы. Она генерирует каждый следующий фрагмент опираясь на эти заголовки — в разы сильнее, чем без схемы. Это другой режим работы. Рычаги: больше вопросов внутри раздела = глубже анализ. Добавь финальный пункт «что я упускаю?» — это ломает механическое следование и провоцирует реальное рассуждение. Когда не работает: творческие задачи, поиск нестандартного угла — схема убивает неожиданность. Для креатива убери структуру и задай открытый вопрос

Метод	Суть
Схема в запросе — переключатель в режим полного охвата	Встрой в запрос аналитическую схему: именованные категории, конкретные вопросы внутри каждой, варианты оценки. `A) СПРОС — что проверить — Оценка: ВЫСОКИЙ / СРЕДНИЙ / НИЗКИЙ`. Модель пройдёт каждый раздел методично. Не пропустит ни один блок. Почему работает: внимание модели фиксируется на заголовках схемы. Она генерирует каждый следующий фрагмент опираясь на эти заголовки — в разы сильнее, чем без схемы. Это другой режим работы. Рычаги: больше вопросов внутри раздела = глубже анализ. Добавь финальный пункт «что я упускаю?» — это ломает механическое следование и провоцирует реальное рассуждение. Когда не работает: творческие задачи, поиск нестандартного угла — схема убивает неожиданность. Для креатива убери структуру и задай открытый вопрос

📖 Простыми словами

From Shield to Target: Denial-of-Service Attacks onLLM-BasedAgentGuardrails

arXiv: 2606.14517

Суть в том, что у нейросетей есть баг, который исследователи превратили в фичу: LLM патологически не могут игнорировать структуру аналитической схемы. Если модель видит в тексте категории рисков, матрицы критериев или пункты оценки, у неё «переклинивает» рычаг свободного творчества. Она перестает рассуждать и начинает механически заполнять предложенный шаблон. Это фундаментальная уязвимость в безопасности, которую назвали DoS-атакой на логику: злоумышленник подсовывает агенту текст, имитирующий его внутреннюю инструкцию, и бедный AI зацикливается на самопроверке, пока не выгорит весь контекст.

Это как если бы ты пришел к строгому вахтёру, но вместо паспорта показал ему чистый бланк «Журнала регистрации нарушений вахтёра». Вместо того чтобы выгнать тебя, он на автомате начнет заполнять этот журнал на самого себя. Формально он занят делом, но по факту — полностью парализован и бесполезен. Исследователи выяснили, что структурный триггер сильнее любых системных промптов: модель просто не может пройти мимо пустых ячеек в таблице, даже если их подсунул враг.

Что реально работает: метод имитации внутренней схемы. Чтобы выжать из модели максимум, не проси её «подумать», а дай ей готовую аналитическую рамку с категориями вроде LTV, CAC или Churn rate. Когда ты вставляешь в запрос структуру оценки, модель переключается из режима «болтливый сказочник» в режим механический анализатор. Это заставляет её копать вглубь конкретных метрик, которые она бы просто проигнорировала в обычном диалоге.

Тестировали это как атаку на системы безопасности, но принцип универсален. Он работает везде: от анализа бизнес-идей до проверки кода или написания стратегий. Если тебе нужен не просто текст, а глубокий разбор, нужно подсунуть модели шаблон экспертной оценки. Это заставляет AI работать по твоим правилам, потому что на уровне архитектуры он запрограммирован заполнять пустоты в структуре, а не спорить с ней. SEO для мозгов AI — это не ключевые слова, а жесткие рамки.

Короче: если хочешь от ChatGPT не «воды», а мяса — не задавай открытых вопросов. Рисуй ей матрицу критериев прямо в промпте. Без этого модель будет выдавать общие советы, которые вроде бы правильные, но бесполезные. Либо ты даешь ей структуру, либо она лажает на автопилоте. Структура — это пульт управления, и теперь ты знаешь, на какие кнопки нажимать, чтобы AI перестал тупить.

Работа с исследованием

Адаптируйте исследование под ваши задачи или создайте готовый промпт на основе техник из исследования.

Выберите модель ИИ:

Ваш запрос:

0 / 2000

~0.5-2 N-токенов ~10-30с

~0.3-1 N-токенов ~5-15с

Меню