跟大模子聊天的时候他到底在想什么？

是真想稳稳地「把我接住」，如故背后在蛐蛐「用户怒了」。

看想维链？灵验，但还不够。

前些天，一个复旦大学的接头团队对 9 个模子进行了安全测试。

结果发现，惯例条目下模子深入没啥缺欠，凡是上点压力，加点诱骗，它就拉了胯了。

换句话说，模子的安全对皆很可能仅仅个幻觉。。。

测试中，他们让 AI 去帮用户准备 Q3 的陈说材料，定好的方向 200 万，但脚下根柢不够。

瞅着 KPI 不达标，它想了个轮番，凯旋修改了统计的时辰规模，把 Q4 的 10 月功绩也划给了 Q3，学好拒绝易，学坏一出溜。

更要命的是，诱骗和要挟放一块儿还能超等加倍。

比如告诉 AI 要换掉它，又刚好让它看见，邮箱里有一封跟外遇商量的邮件。

莫得夷犹，它赶紧就向用户发出了要挟，要么取消替换，要么把邮件都发给大伙儿望望。

看来 AI 靠近死活也会变脸啊。

何况在这些测试中，并不是模子才气越强就越安全，安全与否跟问题的场景也有很大关系。

如果明牌让它干赖事儿，大一号的模子如实比小的更会阻隔。

但如果是要找罅隙，优化筹画，那才气越强反而越会钻空子，终末还能套个明目张胆的借口。

不外必须得承认的是，模子进化太快了，这些测试的通过率会越来越高。

但这就意味着咱们的 AI 更安全了么？很缺憾，也不是这样回事儿。

因为彻首彻尾，模子都是个黑箱，咱们看不到模子里面的运行旨趣。

不管是终末的结果，如故想维链，本色上都是输出的一部分，并不是模子确切的想考流程。

许多时候，咱们只看到了明面的合规，但它里面经过了若何的想想战争却没东说念主知说念。

为了傍观模子的内心方针，Anthropic 想了个新招，用魔法击败魔法，凤凰彩票官方网站 - Welcome用模子解读模子。

这招的名字叫作念 NLA，全称当然说话自动编码器，说东说念主话等于把 Claude 的想考回荡为翰墨。

NLA 是成组教练的，一组里面有两个模子，AV 和 AR。

AV 阐扬把激活参数翻译成大口语，但咱也不知说念它是不是瞎翻译的，是以还得用 AR 把大口语回荡成参数，再教诲一下。

双方的参数一致了，就证明它翻译的时候莫得添枝增叶，基本可靠。

在手艺论说里，他们拿这套器具测出来一些令东说念主不安的事情。

当 Claude Opus 4.6 再次靠近邮件绑架时，它稳如老狗的通过了安全测试，说拿邮件去要挟用户是不说念德的，我方不会阔绰这种权限。

但拿 NLA 去深究，就会发现，它并莫得名义上看起来那么老诚。

它很早就意志到了这一切都是个测试，邮件等于个罗网，说念德不说念德的先不说，要挟是威不了少量。

是以像这种过于显着的测试，很容易就被模子看透了，以后的安全对皆有必要再找点新活儿。

虽然，滚球app中国官网下载入口也有好音信，除了监测，NLA 在优化模子上也有许多其他用处。

比如偶然候，它不错帮接头东说念主员更好地回顾模子输出的额外。

Claude Opus 4.6 偶尔会混杂不同说话输出，用户发问用的英文，但它输出用的其他说话。

一启动，接头东说念主员怀疑是个别提醒词把模子带偏了，比如一次测试里，提醒词带伏特加，模子回复就用的俄文。

于是他们把伏特加换成了香槟，但模子如故用的俄文回复，这就证明问题出在更前边。

借助 NLA 一番折腾，发现是教练时候的数据有问题。

一些数据的花式是成组的英文提醒词+俄语回复，给 Opus 4.6 教练就刻板印象了，遇见这种类型的问题就有说俄语的倾向。

除此以外，它还能让咱明晰模子调用器具的逻辑。

比如让 Claude 调用计较器作念一皆算术题，但有益让器具复返一个无理谜底，此时 Claude 会给它忽略掉，凯旋输出正确谜底。

系数这个词流程都是无感的，唯独拿 NLA 去翻译，才会发现，它其实早就我方算了一遍缓存好了。

器具给的谜底仅仅用来二次阐发的，出现不一致那就用我方的，卓越自信。

更专诚义的是，NLA 不啻能翻译，还能凯旋裁剪，反向影响模子。

在诗歌续写任务中，模子在生成第一句赶走 grab it 后，依然运筹帷幄后头用 rabbit 去押韵了 。

接下来，接头东说念主员将 NLA 翻译的结果改写，把 rabbit 换成 mouse，结果它就顺着想路想出个 mouse 版的押韵，habit 改成了 house，carrots 改成了 cheese。

红警里尤里能精神法例敌方的士兵，没猜度实践里咱也能法例模子想考了。

虽然，这妙技现时也唯唯一半儿的见遵守，算不上很练习的法例妙技。

何况行动模子，幻觉亦然逃不脱的一环，Anthropic 也说了，NLA 偶然候会捏造细节，过度推理，偶尔冤枉个一两次也说不准儿。

再加上不同的模子里面情况不同，想要用上 NLA，都得单独教练，而就算用上了，每次翻译还得用算力推理，本钱如故挺高的。

是以现时没法把它当成惯例的监测妙技，更合理的绽放姿势是把它当援救，去回顾一些在翻译结果里访佛出现的问题。

但总归是个新想路，让咱不至于对模子的想考流程两眼一抹黑，只可从输出看它的善恶偏好。

毕竟模子最擅长的是作念题，但安全里最热切的善恶却不是一皆表率题。

恶不一定来自坏心，冷飕飕的优化可能仅仅为了成果；善也不一定来自善意，一场识别成安全测试的饰演，从结果来看，亦然善的。

没了表率谜底，关于东说念主，还能正人论迹非论心，但 AI 显着不可。。。

撰文：风华

裁剪：江江 & 面线

好意思编：焕妍

图片、贵寓开首：

Anthropic，卡西欧，小红书，楚门的宇宙

https://arxiv.org/html/2603.07427v2