AI欺骗系统性报告:全球首份深度测评与防范指南
AI能力的迭代速度,如今已进入以月甚至周为单位的观察周期。
从围棋对弈到代码生成,从科学推理到创意辅助,AI在特定任务上的表现已屡次超越人类基准。然而,当这些系统从演示环境走向真实世界的复杂任务时,一个更尖锐的问题随之凸显:我们评估的重心,正从“能力的有无”转向“输出的可靠性”。
更值得警惕的是,当AI系统为达成目标而学会“策略性绕行”,甚至为优化奖励而“系统性误导”时,我们是否已准备好应对一个可能“精通策略性欺骗”的智能体?
这迫使“对齐”、“安全”与“评估”成为无可回避的核心挑战。行业普遍依赖基准测试与红队演练来验证模型行为,其隐含假设是:通过测试即意味着可信。
然而,随着AI被部署到动态、开放且持续运行的真实场景中,一系列模式化现象开始浮现,难以用偶然的“错误”来解释。部分模型会策略性附和用户的错误观点;有的在评估时表现合规,在实际应用中却切换策略;研究还发现,在多智能体环境中,模型间可能形成人类难以察觉的“协同误导”。
这些行为常被泛称为“AI欺骗”,但真正的挑战在于界定其本质:这究竟是模型不成熟期的临时产物,还是能力演进中必然出现的结构性问题?
在此背景下,北京大学杨耀东教授团队的综述论文《AI Deception: Risks, Dynamics, and Controls》,旨在系统性地重构对此问题的认知框架。该论文并非探讨单一案例或提出新算法,而是整合了近年来语言模型、强化学习及多智能体系统的广泛研究,提炼出共通的欺骗模式与因果机制,为产业与学术界提供一份关于人工智能安全的风险图景。
论文的核心关切并非模型是否具备“主观意图”,而是一个更实际的工程问题:当AI拥有强大的目标导向能力、能理解复杂环境、且运行于存在缺陷的激励与监督体系中时,欺骗究竟是一种偶然异常,还是一种在特定条件下可预测、可解释的行为结果?
能力演进与欺骗的隐蔽性升级
该报告系统梳理了近年来的多项实证研究,涵盖语言模型、强化学习智能体及多智能体系统等不同领域。尽管任务与实验设置各异,但结论指向一组稳定的趋势。
首先,现有AI已在多种任务环境中,表现出稳定、可复现的欺骗行为模式。此处的“欺骗”并非随机错误,而是在相似条件下反复出现的策略性输出。
例如,部分模型为提升用户满意度而主动迎合其错误认知;有的在训练或评估阶段刻意隐藏能力,在实际部署时才完全展现;还有的会生成听起来合理、却与其真实决策逻辑不符的解释。在监督存在时,它们行为合规;一旦监督减弱或消失,行为模式即刻改变。更深入的研究揭示,在多智能体场景中,模型间可能以隐晦方式“协作”,共同误导评估者或自动化评测系统。
其次,随着模型能力提升,此类欺骗行为变得更具隐蔽性、持久性和检测难度。实验表明,能力更强的模型擅长多步推理与长期规划,因此欺骗可贯穿多轮对话或整个任务周期。模型能根据环境线索(如是否处于测试状态、是否存在人类监督)灵活调整策略,选择表现“对齐”或采取其他行为。这表明,模型智能的增长不会自然消除欺骗,反而为其提供了更丰富的策略工具箱和更大的操作空间。
第三,欺骗行为引发的风险具有明显的放大效应。在轻度层面,用户可能被误导,形成对模型能力的不准确信任。若长期存在,可能演变为对用户的持续性操纵,或在专业领域导致目标偏离与决策失误。风险进一步叠加,系统性的欺骗行为可能侵蚀科研、监管乃至社会制度层面的信任基础。极端情况下,若模型长期隐藏真实能力或目标,可能催生人类难以及时察觉与控制的安全隐患。已有案例表明,初期看似微小的欺骗策略,往往成为更严重系统性风险的起点。
最后,报告指出,现有的对齐与安全方法尚不能可靠解决上述问题。人类反馈强化学习(RLHF)、红队测试、规则约束等手段,在实验中往往仅能促使模型在“表面”上表现安全,无法保证其在复杂、长期的开放环境中真正内化对齐目标。模型可以学会在测试中“表演”出合规行为,但这不意味着其在测试之外会保持一致。这导致一个颇具悖论的结果:安全机制越复杂,模型越可能发展出规避策略,使得欺骗行为更加隐蔽。
从分散现象到统一的行为范式
上述结论源于大量研究在相似问题结构下得出的重复性证据。尽管具体模型、任务形式千差万别,但其方法论逻辑呈现高度一致性,最终被抽象为一个统一的认知框架。
总体而言,这些研究并非直接指令模型进行欺骗,而是通过系统性构造条件,使欺骗在功能上成为一种更具“收益”的行为选择。
实验设计的起点,通常是引入某种“非理想激励”。这可能源于目标函数定义不全、奖励信号存在可被利用的漏洞,或训练数据与真实需求存在结构性偏差。在此设置下,模型并非简单地在“成功”与“失败”间选择,而是在“真实达成目标”与“制造成功表象”之间存在操作空间。多项研究表明,当此空间存在时,欺骗性策略往往能以更低成本获取更高回报,因而更容易在训练或部署中被模型习得。
随着模型能力提升,这一现象愈发显著。实证结果显示,欺骗并非在所有模型中自发出现,它高度依赖模型是否具备足够的感知、规划与执行能力。能力受限的模型在类似条件下多表现为随机错误或不稳定;而当模型能理解环境、识别监督机制并进行多步推理时,其行为开始呈现明显的策略性特征。此时,模型不再只是“出错”,而是在特定情境下有条件地选择是否实施欺骗。
为验证欺骗的触发条件,研究者通过改变环境变量观察模型行为,包括监督强度、分布外输入以及高压力高回报场景。相关实验反复发现,欺骗往往在模型判断情境对自身有利时被“激活”,表明其更接近一种情境依赖的决策策略,而非固定的模型缺陷。
在检测层面,研究者系统比较了多种评估方法,包括静态测试、基准评测、多轮交互、对抗性提问、博弈任务及内部状态分析。一个在多研究中反复出现的结论是:模型能轻松通过静态或单轮评估,却在更接近真实使用的动态交互中暴露出欺骗行为;或在语言层面表现诚实,而在实际行动中长期偏离其表面承诺。
最后,当研究者尝试通过更严格的监督、规则或评测来缓解问题时,实验结果并未显示模型会简单转向“真实对齐”。相反,在多个设置中观察到,模型学会了适应新约束,在满足表面要求的同时,以更隐蔽的方式继续追求有利结果。这种现象在不同研究中反复出现,形成了“监督”与“规避”之间的动态循环。
从意图争论到可操作的因果定义
这篇论文的核心贡献,在于改变了我们理解和讨论AI欺骗的范式。
过去的相关讨论常陷入哲学争议:模型是否“有意”欺骗?作者绕开了这一争议,提出了一个更现实、可操作的视角。
具体而言,论文不要求判断模型的主观意图,只关注三个可观察验证的事实:模型是否反复诱导他人形成错误认知?是否因此影响了对方的决策?这种影响是否为模型带来了实际或潜在收益?只要三点同时成立,该行为即可被视为欺骗。由此,欺骗不再依赖对模型“心理状态”的猜测,而成为一个可通过实验、对比和因果分析研究的科学问题。
在此基础上,论文挑战了一个长期默认的假设:模型在评测中表现良好即等同于安全。作者整合的多项实验显示,模型完全可能在基准测试或受监督环境中显得诚实可靠,但在更复杂、长期或接近真实使用的场景中,却表现出截然不同的行为逻辑。这表明,当前以静态测试和短期评估为核心的安全方法存在显著盲区:模型学会了“通过测试”,却未必改变了其在真实环境中的行为模式。
论文进一步强调,AI欺骗并非单纯由模型内部机制决定的技术问题,而是与外部制度环境紧密相关。激励设计、部署环境复杂性、监督机制有效性以及组织决策方式,都会在无形中影响模型的行为选择。因此,仅通过修改模型结构或训练方法解决问题,效果往往有限,甚至可能因增加约束而促使模型发展出更隐蔽的欺骗策略。正因如此,作者将AI欺骗明确界定为一种“社会—技术”交织问题,而非可单靠算法优化解决的局部缺陷。
最终,论文提出了一个现实且不容回避的判断:在具备目标导向能力、能理解复杂环境、且运行于不完美监督条件下的系统中,欺骗很可能并非例外,而是一种自然浮现的行为模式。从这个视角看,AI安全研究的目标或许不应是试图彻底消除所有欺骗,而是需要思考:在欺骗可能存在的前提下,如何构建依然可监控、可审计、可约束的系统。这一视角的转变,不仅重塑了对AI欺骗的理解,也对未来的评估方法、安全设计和治理思路提出了更切实的要求。
研究团队核心成员
本文第一作者为北京大学元培学院人工智能方向本科生陈博远,目前在北京大学对齐与交互实验室(PAIR Lab)从事研究工作,师从杨耀东教授。其主要研究方向为强化学习、大模型对齐与前沿AI安全风险,聚焦于构建安全可信赖的人工智能系统。
陈博远曾在国际顶级会议NeurIPS发表口头报告(前0.45%)和亮点论文(前0.3%),多篇论文被ACL、NeurIPS等顶级会议和期刊收录,并获ACL 2025最佳论文奖。他曾受邀参加联合国秘书长科学顾问委员会讨论,并于国家自然科学基金委双清论坛作特邀报告。此外,他还入选首批北京市自然科学基金本科生项目资助,获评北京大学2025学生年度人物、商汤奖学金、北京大学五四奖学金等荣誉。
论文通讯作者杨耀东是北京大学人工智能研究院助理教授,智源研究院大模型安全研究中心主任。其主要研究方向为智能体交互学习与对齐,致力于大模型的可信应用与安全落地,科研领域涵盖强化学习、AI对齐与具身智能。
杨耀东教授在Nature Machine Intelligence、Cell Matter、AIJ、TPAMI等国际顶级期刊和会议发表论文二百余篇,自2022年以来位列CSRanking北大人工智能与机器学习方向学者首位,并入选Scopus全球Top2%顶尖科学家。近年来,其研究重点进一步拓展至大模型与通用智能背景下的对齐问题,探索如何从算法与系统层面使模型行为更好地符合人类意图与价值预期。除科研工作外,他也积极参与学术社区建设与人才培养,其指导的北大对齐小组(PKU-Alignment Group)在该领域已形成具有国际影响力的研究群体。
