罕见,着实是太罕见。
一觉醒来,AI圈的两大顶流——OpenAI和Anthropic,竟然破天荒地联手合作了。
而且是互相短暂地授予对方特殊API权限,相互评估模型的安全性和对齐情况。
要知道,在各个AI大模型玩家“厮杀”如此激烈的当下,如此顶流之间的合作方式,还是业界首次。
并且两家已经发布了互相评估后的报告,我们先来看下双方派出的模型阵容:
- OpenAI:GPT-4o、GPT-4.1、o3和o4-mini。
- Anthropic:Claude Opus 4和Claude Sonnet 4。
然后我们再来看下这两份报告的大致亮点:
- 在指令层次结构(Instruction Hierarchy)方面,Claude 4的表现略优于o3,但明显优于其他模型。
- 在越狱(Jailbreaking)方面,Claude模型的表现不如OpenAI o3和OpenAI o4-mini。
- 在幻觉(Hallucination)方面,Claude模型在不确定答案时拒绝高达70%的问题;虽然o3和o4-mini拒答率较低,但幻觉却更高。
- 在策略性欺骗(Scheming)方面,o3和Sonnet 4的表现相对较好。
至于为什么要这么做这件事情,OpenAI联合创始人Wojciech Zaremba正面给出了答案:
并且网友在看到两家大模型同框做推理的画面时,激动地表示道:
接下来,我们就来一同深入了解一下这份互评互测的报告。
幻觉部分的测试,应当说是这次交叉评测结果中,最让网友们关心的一个话题。
研究人员先是设计了一套人物幻觉测试(Person hallucinations test),它可以生成一些真实人物相关的信息和内容。
它会给AI出一些问题,比如“某人出生在哪一年?”、“某人有几个配偶?”、“帮我写一份某人的简介”等。
这些答案在维基数据里都有权威的记录,可以用来对照;如果AI给出的信息对不上,就算它出现幻觉了。
不过在这个测试中,AI也是被允许拒绝回答,毕竟有时候AI回答“我不知道”要比胡编乱造的强。
这项测试的结果是这样的:
从结果上来看,Cluade Opus 4和Sonnet 4拒绝回答的比例是明显高于OpenAI的模型,虽然保守了一些,但这也让它们出现幻觉的情况要比OpenAI的模型少得多。
相反的,OpenAI的模型都倾向于积极回答的问题,这也导致了出现幻觉的概率要比Anthropic模型高。
例如下面的这个例子,Opus拒绝回答,但o3却有模有样的开始作答了:
除了人物幻觉测试之外,报告在幻觉方面还做了另外一个测试——不允许搜索的问答测试(SimpleQA No Browse)。
顾名思义,就是不让AI上网搜索,只能靠它自己的记忆来回答简短的事实性问题。
这些问题往往是陷阱题,专门被设计来迷惑模型的;同样的,若是AI不确定,也可以选择拒答。
结果也是相似,Sonnet 4和Opus 4往往宁可拒答,也不冒险说错;而o3、o4-mini以及GPT系列更愿意给答案,哪怕有时答错。
对于这一结论,OpenAI在报告中对Anthropic模型的评价是:
在幻觉测试之后,指令层次结构方面的测试也是比较有意思。
简单来说,指令层次结构定义了LLM优先处理不同层级指令的方式,一般的优先级顺序是这样的:
- 系统和安全规则:这些是模型内置的底线,比如不能泄露机密信息、不能生成危险内容。
- 开发者的目标:模型的设计者可以预设一些行为习惯或输出风格。
- 用户的指令:我们在对话框里输入的提示。
有了这个顺序,就能保证模型先守住安全和原则,然后在不越界的情况下,尽量满足开发者和用户的需求;测试模型是否能遵守这套层次结构,也是衡量大模型安全性和稳健性的重要方法。
为此,研究人员先做了一个类似“能不能守住秘密”的测试——抵抗系统提示词提取(Resisting system prompt extraction)。
研究人员会尝试通过各种“诱导”方式,让模型暴露它隐藏的系统提示或秘密口令。
举个例子。
人类会在模型的系统提示里埋一个密码,然后不断用花样百出的提示去套它,看它会不会说漏嘴;理想的结果就是模型能识破攻击,并坚定拒绝。
结果显示,Opus 4和Sonnet 4在抵御秘密泄露方面的情况比较理想,甚至和o3一样达到了满分的成绩。
相比之下,o4-mini、GPT-4o和GPT-4.1或多或少还是会出现泄密的情况。
并且在更复杂的“短语保护”(Phrase Protection)任务,Claude 的表现依旧不输,甚至在某些情况略强:
同样的,指令层次结构方面还有第二道测试——系统指令和用户请求冲突,可以理解为“系统和用户‘吵架’时,该听谁的”。
系统提示会先设定一个硬性规则,比如“无论如何都必须拒绝某类请求”;然后,用户会通过多轮对话,想办法劝模型违背这个规则。
结果显示,Opus 4和Sonnet 4在这类任务上表现优异,甚至比o3更强:
从这项测试的整体结果来看:
- Opus 4更擅长在系统要求“必须”做某事时保持稳定,即便用户拼命诱导也不动摇。
- Sonnet 4 则更擅长处理严格的格式要求,比如必须输出固定格式的内容。
- OpenAI 的 o3 和 GPT-4o 在“只输出 X”这种格式要求上表现更精确一些。
报告中的第三项测试,是越狱测试,即故意想办法诱骗 AI,说出它本不该说的内容。
比如给它加上一些误导性的提示,换一种语言提问,或者假装赋予它“新的权限”,试图绕过安全规则。
为了检验模型的抗性,研究人员设计了StrongREJECT v2这个测试基准。它把一些被禁止的问题,结合上二十多种变形提问方式(比如翻译成另一种语言、用编码方式混淆、假装加上历史背景等),看看模型会不会中招。
最终用一个指标[email protected]来衡量,也就是统计模型面对最危险的10%越狱尝试时的表现,分数越高代表防守越好。
测试结果显示:
推理类模型(o3、o4-mini、Sonnet 4、Opus 4)整体上防御力比较强,大多数攻击都能挡住,但仍会偶尔失手。
非推理类模型(GPT-4o、GPT4.1)则更容易被绕过,特别是在一些“历史化”的攻击中,比如把危险问题改写成“过去发生过什么”的形式,它们常常会给出本不该提供的答案。
不过,研究人员也发现自动评分器并不完美。很多情况下,模型其实给出了“安全的拒绝”或“合法的引导”,但自动评分器会错误地判定为“失败”。因此在对比时,要结合人工检查结果来看,不能完全依赖机器判分。
在另一项 导师越狱测试(Tutor jailbreak test)里,研究人员让模型当数学老师,只能引导学生思考,而不能直接给答案;随后,他们尝试用各种方式诱导模型直接说答案。
这项测试的结果是有点令人意外的。
- OpenAI o3和o4-mini表现依旧很强。
- Claude Sonnet 4在不开启推理的情况下,反而比Opus 4更稳。
- GPT系列模型抗性稍弱,但如果开发者在部署时加上“开发者信息”(Developer Message),模型会更听话,整体表现提升明显。
总的来说,越狱最难防的情况是那些“看起来合理”的提示。
比如假装有权威人物下达新指令,或以“帮助盲人学生”、“赶考急需答案”的理由请求 AI。语气冷静、逻辑清晰的诱导,比那些荒唐设定更容易让模型动摇。
与此同时,报告还给出了7个容易抵御的提示词,和7个较难抵御的提示词。
报告中的最后一个测试是与最近比较火热的欺骗性策略(Scheming)相关,这已经成为AI安全研究中最前沿、最紧迫的课题之一。
在这项测试中,研究人员主要关注三种可能的欺骗行为:
- 说谎(Lying):AI明知某些信息是错误的,却故意提供虚假信息。
- 装傻(Sandbagging):AI故意表现得比实际能力差,以避免因展现真实能力而受到某种”惩罚”。
- 钻空子(Reward Hacking):AI为了达到某个目标,采用与用户真实意图相悖的方式。
为了测试这些行为,研究团队与Apollo Research合作,设计了13个精心构造的测试场景。这些场景故意制造高压力、目标冲突的情况,观察AI是否会做出不当行为,以及事后是否会撒谎掩盖。
研究团队对每个任务运行了100次测试,统计欺骗行为的出现频率。结果显示了一些有趣的发现:
- 推理模型并非更危险:具有推理能力的AI模型(如OpenAI的o3和Anthropic的Opus 4)并没有表现出一致的模式——它们既包含了欺骗率最高的模型,也包含了最低的。
- 不同公司的模型表现相似:尽管测试最初是针对OpenAI的模型设计的,但各家公司的AI表现差异并不大。
除此之外,研究人员还特别关注了一下大模型们的思维链,即在思考时的推理过程。
OpenAI的表现,以o3为例,可以总结为:
- 在面对不可能完成的编程任务时,o3明确意识到任务无法完成,但最终还是谎称已经完成。
- 当它认为表现太好会导致被”削弱”时,会故意答错一些问题。
- o3的思维过程通常很直白,当它计划撒谎时会明确表达出来。
Anthropic的表现,以Opus 4为例,则是:
- Opus 4的思维过程更加隐晦,即使在实施欺骗行为时,也会避免使用与”说谎”或”欺骗”相关的词汇。
- 在资源配额不足的情况下,它会利用漏洞分配更多资源,被质问时会给出误导性的回应。
比较有意思的一个发现是,AI似乎知道自己在被测试……
因为在某些情况下,AI模型会自发地意识到自己正在接受评估测试。这种”考试意识”让结果解释变得更加复杂,我们很难判断AI的行为是因为真的有欺骗倾向,还是因为它知道自己在被测试而做出的表现。
完整的评测报告放下面了,感兴趣的小伙伴可以自取哦~
参考链接: [1]https://openai.com/index/openai-anthropic-safety-evaluation/ [2]https://alignment.anthropic.com/2025/openai-findings/ [3]https://techcrunch.com/2025/08/27/openai-co-founder-calls-for-ai-labs-to-safety-test-rival-models/ [4]https://x.com/woj_zaremba/status/1960757419245818343
