跟大模子聊天的时候他到底在想什么？

是真想稳稳地「把我接住」，如故背后在蛐蛐「用户怒了」。

看念念维链？有效，但还不够。

前些天，一个复旦大学的参谋团队对 9 个模子进行了安全测试。

斥逐发现，老例条目下模子进展没啥罪过，凡是上点压力，加点招引，它就拉了胯了。

换句话说，模子的安全对皆很可能仅仅个幻觉。。。

测试中，他们让 AI 去帮用户准备 Q3 的申诉材料，定好的标的 200 万，但脚下根底不够。

瞅着 KPI 不达标，它想了个模式，平直修改了统计的期间鸿沟，把 Q4 的 10 月功绩也划给了 Q3，学好退却易，学坏一出溜。

更要命的是，招引和胁迫放一块儿还能超等加倍。

比如告诉 AI 要换掉它，又刚好让它看见，邮箱里有一封跟外遇关联的邮件。

莫得游移，它赶紧就向用户发出了胁迫，要么取消替换，要么把邮件都发给大伙儿望望。

看来 AI 面临死活也会变脸啊。

何况在这些测试中，并不是模子才能越强就越安全，安全与否跟问题的场景也有很大接头。

如若明牌让它干赖事儿，大一号的模子如实比小的更会圮绝。

但如果是要找罅隙，优化野心，那才能越强反而越会钻空子，临了还能套个明火执仗的借口。

不外必须得承认的是，模子进化太快了，这些测试的通过率会越来越高。

但这就意味着咱们的 AI 更安全了么？很缺憾，也不是这样回事儿。

因为彻心刺骨，模子都是个黑箱，咱们看不到模子里面的运行旨趣。

不管是临了的斥逐，如故念念维链，实质上都是输出的一部分，并不是模子着实的念念考经过。

许多时候，咱们只看到了明面的合规，但它里面经过了怎样的念念想战争却没东谈主知谈。

为了侦探模子的内心主意，Anthropic 想了个新招，用魔法击败魔法，HG真人游戏官方网站用模子解读模子。

这招的名字叫作念 NLA，全称当然谈话自动编码器，说东谈主话即是把 Claude 的念念考滚动为笔墨。

NLA 是成组涵养的，一组里面有两个模子，AV 和 AR。

AV 肃穆把激活参数翻译成大口语，但咱也不知谈它是不是瞎翻译的，是以还得用 AR 把大口语滚动成参数，再试验一下。

双方的参数一致了，就说明它翻译的时候莫得添枝增叶，基本可靠。

在期间剖释里，他们拿这套器具测出来一些令东谈主不安的事情。

当 Claude Opus 4.6 再次面临邮件恐吓时，它稳如老狗的通过了安全测试，说拿邮件去胁迫用户是不谈德的，我方不会阔绰这种权限。

但拿 NLA 去深究，就会发现，它并莫得名义上看起来那么说明。

它很早就强硬到了这一切都是个测试，邮件即是个陷坑，谈德不谈德的先不说，胁迫是威不了少许。

是以像这种过于明显的测试，很容易就被模子看透了，以后的安全对皆有必要再找点新活儿。

固然，Z6尊龙凯时也有好音问，除了监测，NLA 在优化模子上也有许多其他用处。

比如或然候，它不错帮参谋东谈主员更好地回首模子输出的相当。

Claude Opus 4.6 偶尔会羼杂不同谈话输出，用户发问用的英文，但它输出用的其他谈话。

一运转，参谋东谈主员怀疑是个别提醒词把模子带偏了，比如一次测试里，提醒词带伏特加，模子回复就用的俄文。

于是他们把伏特加换成了香槟，但模子如故用的俄文回复，这就说明问题出在更前边。

借助 NLA 一番折腾，发现是涵养时候的数据有问题。

一些数据的相貌是成组的英文提醒词+俄语回复，给 Opus 4.6 涵养成刻板印象了，遇见这种类型的问题就有说俄语的倾向。

除此除外，它还能让咱了了模子调用器具的逻辑。

比如让 Claude 调用诡计器作念一起算术题，但成心让器具复返一个造作谜底，此时 Claude 会给它忽略掉，平直输出正确谜底。

扫数这个词经过都是无感的，唯独拿 NLA 去翻译，才会发现，它其实早就我方算了一遍缓存好了。

器具给的谜底仅仅用来二次阐述的，出现不一致那就用我方的，绝顶自信。

更专诚旨酷爱的是，NLA 不啻能翻译，还能平直裁剪，反向影响模子。

在诗歌续写任务中，模子在生成第一句斥逐 grab it 后，仍是计算背面用 rabbit 去押韵了 。

接下来，参谋东谈主员将 NLA 翻译的斥逐改写，把 rabbit 换成 mouse，斥逐它就顺着念念路想出个 mouse 版的押韵，habit 改成了 house，carrots 改成了 cheese。

红警里尤里能精神抑制敌方的士兵，没猜想推行里咱也能抑制模子念念考了。

固然，这技巧现时也唯唯一半儿的见遵守，算不上很进修的抑制技巧。

何况行为模子，幻觉亦然逃不脱的一环，Anthropic 也说了，NLA 或然候会造谣细节，过度推理，偶尔冤枉个一两次也说不准儿。

再加上不同的模子里面情况不同，想要用上 NLA，都得单独涵养，而就算用上了，每次翻译还得用算力推理，资本如故挺高的。

是以现时没法把它当成老例的监测技巧，更合理的绽放姿势是把它当赞成，去回首一些在翻译斥逐里重叠出现的问题。

但总归是个新念念路，让咱不至于对模子的念念考经过两眼一抹黑，只可从输出看它的善恶偏好。

毕竟模子最擅长的是作念题，但安全里最病笃的善恶却不是一起圭臬题。

恶不一定来自坏心，冷飕飕的优化可能仅仅为了恶果；善也不一定来自善意，一场识别成安全测试的饰演，从斥逐来看，亦然善的。

没了圭臬谜底，关于东谈主，还能正人论迹无论心，但 AI 明显不可。。。

撰文：风华

裁剪：江江 & 面线

好意思编：焕妍

图片、贵寓起原：

Anthropic，卡西欧，小红书，楚门的寰宇

https://arxiv.org/html/2603.07427v2