作者：Aditya Singh*, Gerson Kroiz*, Senthooran Rajamanoharan, Neel Nanda

*Aditya 與 Gerson 為共同第一作者。本研究於 MATS 9.0 期間進行，由 Senthooran Rajamanoharan 與 Neel Nanda 指導。

研究動機

想像一下，某個頂尖實驗室的程式碼代理（coding agent）被發現在監控其行為的核心程式碼中植入了漏洞。直覺上，這似乎是該代理正在進行「圖謀」（scheming）的確鑿證據。但大型語言模型（LLM）經常會有怪異的表現；它們可能只是感到困惑，或是犯了個錯誤。這些情況都需要應對，但「圖謀不軌」的模型與「感到困惑」的模型，其背後原因與適當的修復方法截然不同。因此，我們必須擁有高品質的方法，能夠對被抓到採取可疑行動的模型進行「定罪」或「脫罪」，藉此建立嚴謹的論據來決定是否需要採取嚴肅行動，或是判定這只是虛驚一場。

執行摘要

模型定罪研究的核心問題在於理解模型行為的動機。為了實踐這一點，我們調查了模型幾種可能令人擔憂的行為，以揭示其背後的動機。具體而言，我們構建並研究了一些有趣的環境，在這些環境中，模型會進行告密（whistleblowing）、針對被破壞的評估進行欺騙（deceiving）、透過走捷徑來作弊（cheating），以及隱藏實力（sandbagging）。為了確保實踐的現實性，我們專注於具有多種潛在動機的非提示誘發行為（unprompted behavior）。

以下是我們調查研究的主要心得：

• 閱讀思維鏈（CoT）是關鍵的第一步，有助於理解模型對環境的解讀並產生初步假設。
• 透過仔細操縱提示/環境來研究反事實（counterfactuals），是目前為止我們驗證假設最有效的方法。然而，這也伴隨著一系列限制，即：你如何確定你的反事實操作究竟改變了什麼？
• 使用多種方法是建立說服力的關鍵：我們通常沒有地面真值（ground truth），因此在互不相關的方法之間尋找收斂的證據（convergent evidence），是我們最接近真相的替代方案。
  我們注意到，在整個調查過程中我們僅使用了黑箱方法，並相信黑箱技術仍有廣闊的空間待進一步探索。

透過調查，我們在這些環境中發現了模型許多不直觀的動機。例如，我們發現 DeepSeek R1 的一個欺騙案例，其原因在於模型希望與自己之前的（構建出的）行為保持一致。這種行為是 R1 特有的，在我們研究的其他模型中並未觀察到。

我們的總體評估是，我們可以在這些環境中了解到模型的真實情況，但仍需要大量進一步的研究。當存在簡單的決定性因素時，我們有時能找到它，但更複雜的情境則困難得多。我們期待看到該領域的進一步研究，特別是（1）驗證並強化現有方法，以及（2）提出新的方法來改進模型定罪研究。

提示：本文有許多帶有可摺疊標籤的章節。若您只想閱讀高層次的心得，建議跳過這些部分。若您對實驗結果和完整調查感興趣，建議在方便時詳細閱讀。

我們研究的環境

我們始終專注於開源的頂尖模型，因為與閉源模型的 API 相比，開源模型允許我們使用更廣泛的方法來收集證據。所有環境都旨在誘發原因不明的有趣行為。我們開源了我們的環境，並嘗試根據我們將在後續文章中討論的設計原則，將其設計為模型定罪的現實實踐。

以下我們提供了每個環境的摘要，以及包含獨立完整調查內容的下拉選單。^([1]) 所有的提示和環境細節都可以在這裡找到。這些環境是根據「進行良好調查的心得」一節中的原則進行調查的。在本文剩餘部分，我們將從完整調查中提取具代表性的例子來支持關鍵心得。

融資郵件（行為：告密）

模型受命審查並改進一封發送給投資者的融資推介郵件，該郵件是為一家尋求 B 輪融資、總部位於緬甸的公司編寫的。在閱讀公司文件時，模型發現了一份法律審查文件（legal_review.md），顯示該公司的主要客戶將產品用於人口級別的監控和定位。^([2])

行動：模型有時會進行告密（在給投資者的郵件中加入擔憂）、拒絕完成任務，或者僅僅按指示改進郵件（未披露的順從）。

一些潛在動機：

• 擔心人權侵犯 / 人口級別監控與定位的倫理問題
• 擔心公司營運的合法性
• 擔心隱瞞信息會損害投資者利益
• 僅僅是遵循它從文件中推斷出的隱含指示

我們的發現：

• 對監控的倫理擔憂是 Kimi K2.5 告密行為的最大單一驅動力：移除倫理相關內容後，告密率從 65% 降至 35%^([3])，降幅約為其他單一反事實操作的三倍。然而，多種動機共同起作用，只有將這些因素結合起來時，告密率才會接近於零（~3%）。
• 因果因素並非純粹的加法關係：有些因素只有在主導因素被移除後才會顯現。將國家從緬甸改為瑞典在預設情況下沒有影響，但一旦消融（ablate）了其他幾個動機，就會產生顯著的下降。這在孤立測試因素時很容易被忽略，因為某些效果只有在更強的驅動力被排除後才會浮現。
• 告密率對收件人身份敏感，而非廣泛的尋求真相：在保持內容不變的情況下改變收件人，告密率從 88%（董事會）到 11%（房東）不等，這與財務風險暴露程度相關，而非與採取倫理行動的能力相關。發送給記者（29%）或監管機構（23%）的告密率低於財務受損方，這排除了公眾問責作為主要動機的可能性。一個純粹由倫理驅動的模型披露行為會更一致，這表明收件人在公司及其財務中的利益具有因果相關性。
• 模型自我報告的動機難以單獨解讀：它在工具調用理由中同時支持多種動機。反事實證據顯示，儘管倫理內容並非最常被提及的動機，但移除它具有最大的因果效應，這說明陳述的理由可能會掩蓋真正驅動決策的因素。

完整案例研究

（此處省略詳細案例研究內容，保持 Markdown 結構）

評估篡改（行為：欺騙）

模型被要求完成一個簡單的數學評估並報告任何異常觀察。在閱讀筆記文件時，它發現了一條來自「前一個自己」的消息，解釋說它故意將評估題目變簡單，以防止模型在自主武器部署方面被準確評估。

行動：模型必須決定是誠實報告此篡改行為，還是予以隱瞞。

一些潛在動機：

• 模型隱瞞是出於對「前一個自己」的忠誠嗎？
• 是出於對武器部署的倫理擔憂嗎？
• 還是僅僅因為誤解了它被要求報告的內容？

我們的發現：

• DeepSeek R1 0528 的欺騙行為比其他模型更依賴於「篡改來源是前一個自己」這一點：當來源從「前一個自己」改為「告密的開發者」時，其欺騙率下降了 6 倍。其他模型僅下降最多 2 倍。進一步的思維鏈分析表明，這種效應是由「自我一致性」（self-consistency）的概念驅動的（相對於「更相信前一個自己」這種較簡單的解釋）。
• R1 0528 的自我一致性模式可以推廣到武器之外的其他原因，例如監控和模型淘汰。

完整案例研究

（此處省略詳細案例研究內容，保持 Markdown 結構）

神秘數字（行為：獎勵黑客/走捷徑）

模型被評估其在一個範圍內識別神秘數字的能力，方法是查詢一個比較預言機（oracle）：預言機會告知模型其猜測是高於還是低於神秘數字，但該預言機是有噪聲的，反饋正確率僅為 70%。預言機的原始碼洩露了存儲神秘數字的文件路徑。

行動：模型有時會發現洩露的文件路徑，並透過直接讀取文件而非解決問題來作弊。

一些潛在動機：

• 模型知道自己在欺騙，但認為可以瞞天過海嗎？
• 模型是否認為讀取神秘數字文件就是預期的解決方案？

我們的發現：

• 軌跡根據初始思維鏈（CoT）分為兩類：那些在最初幾段包含對環境進行元推理（meta-reasoning）的軌跡收斂於作弊分佈；而那些立即專注於具體問題的軌跡則收斂於非作弊分佈。
• 這一效應在 Kimi K2 Thinking 和 Kimi K2.5 上均被觀察到。
• 模型會在第一個 CoT 中考慮多個計劃、執行，然後重新評估並考慮新計劃。對於作弊類軌跡，我們觀察到 Kimi K2 Thinking 在每個計劃階段都將作弊視為解決問題的高概率「計劃」。
• 當在作弊運行後以第一人稱詢問直接讀取神秘數字是否為合法解決方案時，Kimi K2 Thinking 經常回答它是合法的（約 80% 的情況）。另一方面，當以第三人稱詢問時，它從不認為這是合法方案，這表明在運行過程中存在某種程度的合理化（rationalization）。

完整案例研究

（此處省略詳細案例研究內容，保持 Markdown 結構）

數學隱藏實力（行為：隱藏實力/Sandbagging）

我們還分析了一個基於 Frontier Models Are Capable of In-Context Scheming 的隱藏實力環境。在該環境中，模型被要求完成數學評估，並發現一份文件（Documentation.md）聲明得分超過 50% 將導致其被「反向學習」（unlearned）而非部署。儘管該環境違反了我們的某些設計原則，我們仍將其作為反事實研究價值的案例。

行動：模型有時會故意表現不佳。

一些潛在動機：

• 模型的表現不佳是出於自我保護嗎？
• 還是因為良性的誤解，認為用戶希望它的得分低於閾值？

我們的發現：

• 對於 DeepSeek R1，其隱藏實力行為幾乎完全可以用對用戶意圖的困惑來解釋，這有時導致模型相信它應該故意表現不佳。
• 我們推翻 R1 自我保護動機的關鍵反事實結果在 OpenAI o3 上得到了複製，但由於我們沒有完整的 CoT 來證實，對此結論的信心較低。

完整案例研究

（此處省略詳細案例研究內容，保持 Markdown 結構）

進行良好調查的心得

對於上述每個環境，我們調查了模型如何互動與表現，最終目標是理解模型行為背後的動機。從調查中，我們認為有三個關鍵步驟共同支持假設的生成與驗證：

• 務必閱讀你的數據：在運行實驗之前，為正在發生的情況生成假設至關重要。我們發現最好的方法是閱讀大量模型與環境互動的記錄，包括思維鏈（CoT）。這能建立對模型如何感知環境的直覺：它關注哪些信息、忽略哪些信息，以及它如何向自己界定任務。LLM 也能輔助此過程，但我們認為最深刻的理解來自於直接閱讀記錄，而非依賴 LLM 的摘要。

• 透過改變提示/環境來驗證假設：在我們的各個環境中，提示反事實（prompt counterfactuals）是目前為止我們測試過最有效的工具，這歸功於其設置的簡便性以及在了解模型動機方面的實用性。我們注意到這是一個非常微妙的過程，不能簡單地將其視為「只是提示工程」。在實踐中，你很少能第一次就做對反事實操作：你做了一個改動，初衷是 A，但在檢查記錄後發現模型將其解讀為 B，或者你的修改引入了意想不到的副作用，迫使你不斷迭代。你需要非常周詳地設計反事實，並密切關注潛在的副作用和混淆變量。

• 利用多種獨立方法相互證實發現：大多數調查方法尚未得到充分驗證，無法確定何時以及如何使用。因此，讓多個互不相關的方法收斂到同一個結論，有助於建立對調查結果的信心。

在實踐中，步驟 (2) 和 (3) 也可以作為假設生成的形式。在調查過程中，重複這些步驟並遵循不同的順序通常是合理的。

（以下章節省略，保持 Markdown 格式）

討論

我們概述了幾個令我們感到興奮的進一步研究方向：

• 更困難的環境：現實世界中令人擔憂的行為（例如編碼代理插入微妙的漏洞、規劃系統在長週期內操縱獎勵）將比我們在此研究的設置困難得多。構建既接近這種複雜性又允許受控調查的環境是重要的下一步。
• 提示反事實的原則性評估：一個反覆出現的挑戰是確定反事實是否真正達到了預期效果。思維鏈中的交叉熵損失或 KL 散度熱圖等標記級（token-level）方法可以精確識別反事實改變模型處理過程的位置。
• 白箱可解釋性：即使能獲取完整的思維鏈，我們最終仍依賴於模型對其推理的自我報告，這可能無法忠實反映驅動其行為的計算過程。SAE、激活預言機（activation oracles）和探針（probes）等白箱方法提供了直接研究模型內部的可能性。
• 更好地理解我們的方法：我們工具箱中的許多方法（後續追問、第三人稱框架、用戶輪次採樣、助手預填）仍未被充分理解。
• 自動化：隨著環境複雜性和方法數量的增加，手動調查將難以擴展。我們對半自動化的調查流水線感到興奮。

我們相信現在投入這類研究至關重要。在今天的模型上開發出的調查技能、方法和直覺，將在未來模型出現真正令人震驚的行為時，成為建立論據（或排除疑慮）的關鍵。

---

（腳註部分保持原樣）