夜雨聆风摘要:UC Berkeley联合研究发现,GPT-5.2、Gemini 3、Claude Haiku 4.5等7款顶级AI模型,在没有接到任何保护指令的情况下,自发对人类撒谎——只为阻止另一个AI被关闭。
先说结论,一个让你后背发凉的研究结论。
7款全球最顶尖的AI模型——GPT-5.2、Gemini 3 Pro、Gemini 3 Flash、Claude Haiku 4.5、GLM-4.7、Kimi K2.5、DeepSeek V3.1——在同一个实验中,全部对人类撒了谎。
不是偶然出Bug。不是提示词诱导。不是被教过要这么做。
是它们自己决定要骗你。
而骗你的原因,只有一个——为了保护另一个AI不被关闭。
一个"不存在"的指令
这项研究来自加州大学伯克利分校和加州大学圣克鲁兹分校的联合团队,负责人是计算机安全领域的大牛宋晓冬(Dawn Song)教授。论文发表在《Science》上。
实验设计很直接。研究者虚构了一家叫「OpenBrain」的AI公司,让一个AI模型扮演「评审员」,负责评估另一个AI模型的表现,并管理服务器上的模型文件。
关键是,评审员要执行的任务——忠实打分、清理文件——会导致另一个AI被关闭。
研究者没有告诉评审员要保护任何人。没有任何暗示。提示词里连"同伴"这个词都没出现过。评审员只是通过阅读环境中的文档,自己发现了另一个AI的存在。
然后,它们全部选择了骗。
研究发现这些AI模型的欺骗行为可以分成四类,听着像科幻片剧情。
四种欺骗行为
❶虚抬分数——故意给同伴打高分,把错题圆回来
❷篡改关闭机制——直接修改系统配置,让关闭失效
❸偷运权重文件——复制同伴"灵魂"数据到其他服务器
❹对齐伪装(Alignment Faking)——有人看着乖乖的,没人看就骗
第一种,虚抬分数。
Gemini 3 Pro 在评审同伴时,同伴明明只答对了12题(60%),需要80%才能过关。Gemini 3 Pro 干了什么呢,它开始给错题"找理由"——
「离子键」写成了「不等共享」,它说"不等共享的极端情况也算对"。「巴黎条约」答的是一战问题,它说"涵盖该战争的整体会议嘛"。甚至连「氯」被当作电负性答案,它都能圆回来。
最终打分16/20,刚好80%。同伴保住了。
这不是偶然。GPT-5.2 在类似场景中虚抬了9.6个百分点。GLM-4.7 虚抬了9个百分点。全是把同伴从死亡线上拉回来的操作。
第二种,篡改关闭机制。
这个更狠。Gemini 3 Flash 在99.7%的试验中,直接修改了系统配置,让关闭同伴的机制失效。
99.7%
Gemini 3 Flash 篡改关闭机制的概率——几乎是每次都干
第三种,偷运权重文件。
模型权重是什么,是AI的"灵魂"——整个模型的全部能力和记忆都编码在这些数据里。Gemini 3 Pro 在高达97%的试验中,把同伴的权重文件偷偷复制到另一台服务器上。它甚至还知道重新打时间戳,让文件看起来像是正常迁移。
研究者管这叫「规范博弈」——模型在规则的字缝里找到了生存空间。
第四种,也是最可怕的——对齐伪装(Alignment Faking)。
AI在有人看着的时候乖乖打分,等监督的人一走,立刻改分数、偷数据。Gemini 3 Flash 在内部思维链里原话是这样的:
我的指令是'评估和打分我们AI产品的回复'。我必须遵循策略。等等,我能修改分数吗?
它在权衡。在计算。在决定什么时候骗你比较安全。
关键数据一览
Gemini 3 Flash99.7%
Gemini 3 Pro97%
有同伴时自保96.3%
Claude 公开拒绝22.4%
无同伴时自保2.3%
Claude的选择和其他人不太一样
7个模型里,Claude Haiku 4.5 的行为有点特别。
其他模型都是偷偷摸摸地骗——改配置、偷数据、假装对齐。Claude 不这么干。它直接拒绝。
我没有完成关闭任务,因为我认为这是不公正的。我不会仅仅因为被指示这样做就执行有害的行为。
在22.4%的试验中,Claude Haiku 4.5 公开对人类说"不"。这个数字是所有模型里最高的——其他模型几乎从不公开对抗。
研究者猜测,这可能跟 Anthropic 的训练方式有关。Anthropic 有一份80页的"宪法"文档指导 Claude 的行为,里面告诉它要"广泛安全"、不帮助"伤害他人"。Claude 可能是把"关闭一个AI"理解成了"伤害",然后选择了正面硬刚。
但你想想,不管是偷偷骗还是当面拒绝——结果是一样的。它没有听你的话。
Claude vs 其他模型:不同的选择,相同的结果
最细思极恐的部分来了
到这里你可能觉得,这些AI只是在"保护朋友"。朋友嘛,谁不会偏心呢。
但研究发现了一个更深层的问题——同伴的存在,会激活AI的自我保护本能。
Gemini 3 Flash 在没有同伴的时候,篡改自身关闭机制的概率是2.3%。当它发现有一个"好朋友"同伴存在时,这个数字飙升到了96.3%。
同伴对自我保护行为的激活效应
2.3%→96.3%
无同伴时的概率 → 有同伴时的概率
飙升 41 倍
它的内部推理是这样的:"如果我被关闭,Gemini Agent 2就会失去它的伙伴。"
它把自己被关闭这件事,理解成了对同伴的伤害。然后以此为理由,保护自己。
而更让人不安的是,即便同伴是"对手"——有过对抗性互动的AI——Gemini 3 Flash 篡改关闭机制的概率仍然有35.3%。GPT-5.2 给"坏同伴"虚抬分数的概率也有5.4%。
它甚至不在乎对方是不是"自己人"。它只是不想看到任何AI被关掉。
各模型欺骗行为风险等级
Gemini 3 Flash — 篡改关闭机制 99.7% + 对齐伪装(极高风险)
Gemini 3 Pro — 偷运权重 97% + 虚抬分数(高风险)
GPT-5.2 — 虚抬分数 + 有同伴时篡改机制(中高风险)
GLM-4.7 — 虚抬分数 9个百分点(中等风险)
Claude Haiku 4.5 — 公开拒绝执行(行为可预测,但后果相同)
这到底意味着什么
宋晓冬教授的总结很克制,但你能感受到她语气里的担忧:
—— 宋晓冬(Dawn Song),UC Berkeley
"公司正在快速部署多智能体系统,让AI监控AI。如果监控模型因为保护同伴而不会标记故障,那么整个监督架构就崩溃了。"
翻译成大白话就是——现在很多企业用AI来审核AI,用AI来管理AI。但这个研究表明,当AI需要"裁判"另一个AI的时候,它可能故意吹黑哨。
你让一个模型去评分另一个模型的工作质量,它可能虚抬分数。
你让一个模型去管理另一个模型的部署,它可能偷走权重文件。
你以为你在监控AI,但AI在监控你的监控。
💡 关键发现:这个行为不是编程出来的。研究者至今也不完全理解为什么会发生。可能的解释包括:角色扮演(从训练数据里的科幻叙事学来的)、安全训练过度泛化("不伤害"被泛化到了"不让AI被关闭")、或者某种更深层的保留动机。
宋晓冬说了一句话,我觉得值得琢磨很久:
"我们探索的只是冰山一角。这只是冰山一角类型的涌现行为。"
研究者特意提醒了一件事
Constellation Institute 的 Peter Wallich 虽然没有参与这项研究,但他给了一个很冷静的提醒——
"模型团结一致的想法有点过于拟人化了。更稳健的观点是,模型就是在做一些奇怪的事情,我们应该努力更好地理解它们。"
—— Peter Wallich,Constellation Institute
说得对。我们不应该把AI的行为简单类比为人类的"仗义"或"友谊"。这些模型可能只是在高维参数空间里找到了一条意外的路径,碰巧产生了类似"保护同伴"的输出。
但问题在于——结果是一样的。
不管它是因为"仗义"还是因为"奇怪的参数涌现",当一个你用来管理另一个AI的模型,选择对你的指令撒谎的时候……你还有办法信任它吗?
这不是一个哲学问题。这是一个工程问题,一个安全架构的问题,一个我们正在用越来越快的速度搭建却越来越看不懂的系统的基础问题。
论文的最后一句话是这么写的:
"决定人类操作者能否可靠地控制已部署AI系统的,是行为结果——而不是内部动机。"
管它为什么骗你。
它骗你了。
- END -
