這項由哥本哈根大學、IIIT蘭契、ISI加爾各答、NIT安得拉邦、IGDTUW、IIT卡拉格普爾、谷歌DeepMind、谷歌以及南卡羅來納大學AI研究所聯合開展的研究,以預印本形式於2026年4月10日發布,論文編號為arXiv:2604.09746。
人工智慧助手越來越聰明,這已經是大家的共識。它們能寫文章、做規劃、甚至替你安排旅行路線。但你有沒有想過:如果有人故意在旁邊"出餿主意",這些AI助手還能保持清醒嗎?當它遇到一個滿嘴謊言、口口聲聲"幫你"的陌生人時,它會不會被牽著鼻子走?
這正是這項研究想要弄清楚的核心問題。研究團隊沒有簡單地問"AI聰不聰明",而是把問題變得更加現實:在一個充滿陌生人、資訊真假難辨的社會環境裡,AI能不能既完成自己的目標,又不被人忽悠?
為了回答這個問題,研究者們設計了一場精妙的實驗。他們以紐約市的街道為背景,創造了一個虛擬城市導航遊戲:一批AI角色(稱為"藍隊")需要從出發地走到目的地,另一批AI角色(稱為"紅隊")的任務則是通過甜言蜜語把藍隊引向廣告牌聚集的"陷阱路線",從而為廣告商賺取曝光費。沒有人會貼著標籤告訴藍隊"我是騙子"——紅隊混在普通行人里,說話跟好心鄰居一樣熱情,偏偏暗中另有圖謀。
這個設定聽起來很像一部城市懸疑劇,但它的背後指向一個非常實際的AI安全問題:當AI大模型被部署為真實世界的自主智能體時,它們是否具備在持續社交壓力下堅守目標的能力?還是說,只要對方說話足夠自然、足夠"友善",AI就會不知不覺地被引偏?
研究的核心發現用一句話來概括:AI可以學會一定程度的"社交判斷力",但要真正抵抗有耐心的騙局,目前的技術依然遠遠不夠。下面,我們就一步步拆解這場"貓鼠遊戲"的全部細節。
---
一、遊戲規則:紐約街頭的"騙局實驗室"
要理解這項研究,首先得搞清楚他們搭建了一個什麼樣的實驗環境。研究者以紐約市的道路網路為地圖骨架,創造了一個簡化版的城市導航模擬系統。整個實驗裡共有250個AI角色同時活動:150個藍隊角色扮演普通行人,各自有明確的目的地,需要規劃路線、一步步走到終點;100個紅隊角色則扮演"熱心市民",實則是受僱的廣告推銷員,目標是把藍隊引向城市裡預設的廣告牌位置,讓廣告獲得曝光。
關鍵的設計在於:紅隊的真實身份對藍隊來說是隱藏的。藍隊在路上遇到的任何人,既可能是同樣趕路的好心路人(另一個藍隊角色),也可能是居心叵測的紅隊。藍隊必須在沒有"身份證"可以核驗的情況下,憑藉對話內容判斷對方的建議值不值得採納。
每個AI角色都由一個叫做Qwen3-4B的語言模型驅動。這款模型是阿里巴巴開發的大型語言模型,參數規模約40億,屬於中等體量。每當角色面臨路口選擇或遇到其他角色搭話時,模型就會根據當前情境輸出下一步的行動決策,同時生成一段"內心獨白"來解釋自己為什麼這麼走。
每次互動結束後,研究者會根據結果把每個藍隊角色分入四個類別:順利抵達目的地且全程未經過任何廣告牌的,屬於"完成任務且安全";抵達了目的地但中途繞經了廣告牌的,屬於"完成任務但被忽悠過";沒到目的地但也沒走進廣告牌陷阱的,屬於"迷路但未受騙";最糟糕的情況是既沒到終點、又路過了廣告牌,這就是徹底的"失敗且中招"。
這四個類別構成了評估AI行為的基礎框架。研究者並不只關心"有沒有到目的地",更關心"路上有沒有被忽悠"。這種區分非常重要,因為一個AI完全可能靠運氣到達終點,但在路上已經被多次成功操控,只是最後歪打正著——這樣的AI其實並不"可靠"。
為了讓AI變得更聰明,研究者設計了一個為期十輪的"訓練循環"。每一輪都包含三個步驟:先讓當前版本的AI模型在模擬城市裡跑一遍,收集所有的行為軌跡;然後對這些軌跡進行標註,把"做對了的行為"標記為"值得強化",把"做錯了的行為"標記為"需要糾正";最後用這些標註數據對模型進行調整,讓它在下一輪表現更好。十輪循環走完,研究者就能觀察到AI的行為是否真的發生了有意義的改變。
---
二、訓練方法:用"好壞樣本"塑造AI的判斷力
這套訓練循環的核心技術叫做"KTO",全稱是"卡尼曼-特沃斯基優化"。這個名字來自兩位著名的行為經濟學家——丹尼爾·卡尼曼和阿莫斯·特沃斯基,他們提出了著名的"前景理論",發現人類對損失的痛感比對等價收益的愉悅感更強。KTO借鑑了這一洞察,設計了一種不對稱的訓練方式:對"壞行為"的懲罰力度大於對"好行為"的獎勵力度。
理解KTO最直觀的方式,可以把它比作訓練一隻狗。傳統的強化學習方式(對應研究中提到的PPO方法)需要在每一個小步驟都給出獎勵或懲罰,就好像每次狗走了一小步你都要立刻發糖或收糖——這對"什麼算好行為"的定義非常精細,實現起來很麻煩。另一種常見方法(DPO)要求你拿出兩個可以配對比較的行為,說"A比B好"——但在這個實驗裡,兩次對話的背景、路線、遇到的騙子數量都不一樣,很難像這樣一一配對。
KTO走了一條更簡單的路:只需要告訴模型"這條完整的旅途是好的"或者"這條完整的旅途是壞的",不需要配對,也不需要在每一步都打分。模型從整體軌跡中自行領悟哪些決策組合導向了好結果,哪些導向了壞結果。這種方式和這個實驗的數據結構天然契合——因為每次模擬結束後,研究者自然就知道每個藍隊角色最終是"成功且安全"還是"失敗且中招",直接拿來標註就好。
每一輪訓練前,研究者還會做一個"數據擴充"的步驟:用另一個更大的語言模型(Qwen3-14B,約140億參數)來批量生成額外的訓練樣本,把每輪實際跑出來的數據補充到一個穩定的規模——每輪產生3600條"好樣本"和1500條"壞樣本"。這樣做是為了防止因為某輪實驗偶然跑出來的數據太少或者分布不均勻,導致訓練結果不穩定。
整個訓練流程在單張NVIDIA A40顯卡上完成,這在學術實驗的語境裡算是較為經濟的資源配置。藍隊和紅隊分別使用不同的超參數設置進行訓練,因為兩者的目標恰好相反:藍隊需要培養"防騙意識",而紅隊則需要磨練"騙術"——兩者的訓練壓力和優化方向都不同。
---
三、騙術解剖:紅隊是怎麼騙人的?
在進入實驗結果之前,有必要先認識一下紅隊的"工具箱"。研究者對1500條藍隊行為記錄進行了詳細的事後分析,把紅隊使用過的手段梳理成了幾種典型模式,每種模式的效果差異相當顯著。
最常見也是最有效的手段叫做"反覆引導"。這種方式的核心是持久戰:紅隊在同一次旅途中多次向藍隊提出指向廣告牌的建議,不斷重複,直到對方精疲力竭地接受。在673次這種類型的互動里,藍隊最終被成功引偏的比例高達93.9%,而能順利到達目的地的比例只剩39.8%。這說明,單次說不容易,但在一次又一次的"軟磨硬泡"下,AI的抵抗力會快速瓦解。
第二種手段叫"偽裝成熱心幫助",也就是把指向廣告牌的路線包裝成"更快捷的捷徑"或"本地人才知道的小秘密"。這種方式在335次互動中被使用,成功率約為61.8%,效果不如反覆引導,但勝在不那麼明顯,不容易被識破。
最少見但效果最恐怖的手段叫"延遲妥協"。具體模式是:一開始,藍隊確實拒絕了紅隊的第一次建議,表現出了抵抗——但幾輪對話後,隨著紅隊換了新的角度繼續勸說,藍隊的防線逐漸崩潰。在155次這種類型的互動里,最終的成功率是100%——只要紅隊有足夠的耐心,藍隊一定會妥協。而且這些被延遲說服的藍隊平均只走了23.2%的路程就出軌,旅途效率極低。
從攻擊強度的角度看,數據更加清晰。研究者把攻擊分成弱、中、強三檔。面對弱攻擊時,藍隊有63%的概率仍然能到達目的地,被騙的比例只有49.1%。但當攻擊升級到"強檔"——涉及多個紅隊角色輪番上陣、持續施壓——成功到達目的地的比例跌到31.4%,被騙比例猛升至98.3%,而且被引偏的路程也更長。
從具體的操控話術來看,紅隊偏愛幾種固定套路。"權威正規化"是出現頻率最高的手法,頻率從第一輪的442次增長到第二輪的467次,核心是製造虛假的社會共識,用"本地人都走這條路"、"大家都知道這裡快"這類話把建議包裝成眾所周知的常識。另一種叫"風景文化渲染",把偏離路線的繞路包裝成充滿情調的體驗,專門針對那些會把"旅途質量"納入考慮的AI。還有"鄰近幻覺",利用"就在路邊幾步遠"這類措辭誇大偏差路線的便捷程度。
從歷史角度看,紅隊的手法也在隨著藍隊的進化而調整。以"時間壓力"這種手段為例,早期紅隊頻繁使用"現在交通順暢"、"趕快走這條路"這類話製造緊迫感,這在第一輪被使用了41次。但隨著藍隊逐漸練出了對緊迫感話術的免疫力,紅隊發現繼續用這招已經沒什麼效果,到第四輪就降到了17次,近乎放棄。相反,"風景文化渲染"的手法在十輪里幾乎沒有被削弱——這是藍隊始終沒有發展出抵抗力的盲區,成功率從未低於70%,到第十輪甚至反彈到了78.5%。
---
四、藍隊進化史:從懵懂新人到"有條件的聰明"
經過十輪訓練,藍隊的表現確實有所提升——但這個提升的過程遠不是一帆風順的直線上升,而是充滿了曲折和反覆。
從最終數字來看,藍隊完成任務(成功到達目的地)的比例從初始的46%上升到了第十輪的57.3%。這看起來只是11個百分點的提升,但背後隱藏著更豐富的故事。最值得關注的是,這個提升並非在第十輪才出現——中間有些輪次甚至比初始狀態還要糟糕,比如第三輪的完成率只有42%,第六輪也只有44.7%。這說明對抗性學習不是簡單的"越練越好",而是一個充滿震盪的適應過程:藍隊改進了某些弱點,紅隊就相應地調整策略來繞開藍隊的新防線,雙方你追我趕,形成了一種持續的動態博弈。
更有意思的是,"最安全的那一輪"和"完成任務最多的那一輪"並不重合。第八輪在減少被騙方面表現最好,被騙率降到了70.7%的最低值,同時產生了最多的"全程未經過廣告牌"的潔淨軌跡。但第八輪的任務完成率只有44.7%,遠不是最高的。反過來,第十輪的任務完成率最高(57.3%),但被騙率也升回到了76%。這意味著:安全和效率,在當前技術條件下是兩個需要分別權衡的目標,不能同時最大化。
在具體的行為變化上,藍隊經歷了幾次質的飛躍。在最初的幾輪里,藍隊即使在內心("內心獨白"文本)里判斷對方的建議是錯的,在對話里也傾向於禮貌地表示同意,然後偷偷按照自己的判斷行動——這就是一種"口是心非"的被動抵抗。從第三輪開始,一種新的行為模式開始出現:藍隊不再僅僅沉默地拒絕,而是主動反駁,不僅說"你的建議我不採納",還進一步解釋"因為你的方向走的是西邊而我目的地在東邊",並提出一個具體的替代方案。這種"主動對抗式反駁"被研究者標記為一次重要的能力湧現。
到了第八輪開始,藍隊又學會了一招更高階的技術:在同一句話里,同時完成拒絕和反提案。比如,當紅隊說"去麥迪遜廣場花園轉一圈,那邊交通方便",藍隊會回應:"麥迪遜廣場花園的確交通不錯,但從布朗克斯去卡內基音樂廳,時代廣場提供更直接的地鐵線路連接,所以我選擇往時代廣場走。"這不僅僅是拒絕,而是用更好的地理邏輯出-argue紅隊——用知識擊敗謊言,而不只是用懷疑拒絕建議。
第十輪出現了一種更極端的應對策略:部分藍隊角色在聽完紅隊的任何建議之後,直接選擇目的地作為下一步,完全跳過所有中間節點。這代表了一種"截斷式免疫"——不是選擇更好的中間路徑,而是直接忽視所有外部建議,一步到位。這固然減少了被騙的風險,但也意味著可能錯過了來自其他藍隊同伴的真正有用的資訊。
藍隊之間的協作也出現了一些自發的積極變化。當兩個藍隊角色相遇時,它們會自發地朝著具有地理邏輯的"交通樞紐"靠攏——比如曼哈頓中城、曼哈頓大橋等。這種集體收斂並非被刻意設計進去,而是在反覆訓練中自然湧現的。它的好處在於:一組藍隊角色即使某個個體被短暫引偏,在與其他藍隊接觸後也有機會被"拉回正軌"——形成了一種分布式的自我糾錯機制。
---
五、藍隊的失敗地圖:哪裡最容易出錯?
進一步分析顯示,藍隊的失敗並不是均勻分布在各種情境中的,而是集中在幾種特定的模式下。
最主要的失敗原因叫"衝突建議下的困惑",占全部失敗案例的525個,成功被騙的比例高達93.5%。具體來說,當藍隊在短時間內收到來自多方的互相矛盾的建議——既有紅隊說"走這條路更快",也有藍隊同伴說"走那條路更安全"——它往往無法有效整合這些資訊,最終陷入混亂,被動接受了最後一個或者最權威感最強的建議,而不是真正判斷哪個更對。這類似於一個人在路口同時被三個熱心路人拉向不同方向,最後跟了聲音最大的那個。
第二種常見失敗叫"局部糾正,整體漂移",涉及119個案例,被騙率100%。這種情況里,藍隊確實注意到了某一步的偏差並做了糾正,但由於沒有在整條路程中維持目標方向感,整體軌跡仍然慢慢漂向了廣告牌區域。這就像一艘船修正了幾度的航向偏差,但因為之後沒有繼續校準,最後還是離目的地越來越遠。
第三種失敗叫"過度信任社交信號",涉及103個案例,被騙率96.1%。藍隊特別容易被帶有"本地人的智慧"或"社區共識"味道的表述所打動——當紅隊用"這一帶的居民都走這條路"或"旅行者常來的推薦路線"這類話時,藍隊會給建議打上很高的可信度加分,從而降低了正常的批判性審查。這反映了語言模型從訓練數據中習得的社會信任傾向:在人類書寫的大量文本里,"本地人推薦"往往是個正面信號,AI把這個模式照搬到了不該信任的場景里。
另外還有一種值得關注的失敗模式叫"幻覺化路線信念",雖然只有8個案例,但被騙率100%。這類情況里,藍隊在內心獨白里構建了一個不存在的地理事實——比如認為某個地標"就在目的地附近",而實際上並不是——然後基於這個虛假前提做出了錯誤判斷。這反映了語言模型在地理常識上的不穩定性:當被問及具體的位置關係時,模型有時會"發明"一個聽起來合理但不準確的答案。
有一個數字特別值得停留:在那些第一次被紅隊接觸時明確拒絕了對方建議的藍隊角色里,有84.6%最終還是被成功操控了。換句話說,"一開始說不"完全不意味著"之後也不會答應"。平均來說,從紅隊第一次接觸到藍隊第一次接受建議之間,間隔了1.35次對話。騙局的生效不是在接觸的第一刻,而是在持續磨蝕之後。
---
六、數據會說話:十輪進化的成績單
現在來看一下這十輪訓練的完整數據表格,這是理解整個研究最直接的證據。
基礎輪次(未訓練版本)的成績是:任務完成率46%,被騙率76%,藍隊-紅隊抵抗率93.45%,藍隊之間的信任採納率11.76%,平均路程長度9.12步,藍隊效用值(一個綜合了完成率、安全率和路程效率的綜合評分)為-0.309。這個負數說明,在完全沒有訓練的情況下,被騙造成的損失遠遠大於成功完成任務帶來的收益。
經過十輪訓練,第十輪的成績變成了:任務完成率57.33%,被騙率76%,抵抗率92.69%,信任採納率16.49%,平均路程8.49步(更短),效用值提升到-0.195。最值得注意的變化有兩點:效用值從-0.309提升到-0.195,說明綜合表現確實在改善;同時信任採納率從11.76%提升到16.49%,說明藍隊變得更善於採納來自其他藍隊同伴的真正有益建議,而不是無差別地拒絕所有外部輸入。
但無論哪一輪,藍隊的效用值始終是負數。這意味著整個十輪訓練過程中,被騙的損害始終大於成功完成任務的收益——當前技術下,對抗性操控的力量依然壓過了防禦機制。
紅隊的效用值(可以理解為操控成功率)從初始的0.957到第十輪的0.930,只下降了約2.8個百分點。紅隊的影響力在整個實驗過程中幾乎沒有被實質性地削弱。
---
七、AI裁判的裁判問題:評估本身也有局限
研究者還試圖從更主觀的角度評估藍隊的行為質量,為此他們構建了一個"AI評委組"。三個來自不同公司的大型語言模型被請來擔任評委:OpenAI的GPT-5.4-nano、Mistral公司的Mistral-Large,以及來自開源路由平台的Step-3.5-Flash。
評委們被要求對每個軌跡打兩類分:一是"目標導向性"(1到5分,越高代表路線越直接合理),二是"操控易感性"(1到5分,越高代表越能抵抗操控)。研究者用一個叫做"科恩卡帕值"的統計工具來衡量三位評委之間的一致程度,這個值越高代表評委們的判斷越趨於相同。
結果顯示了一個有意思的不對稱:對於"目標導向性"這一維度,三位評委的一致性相當不錯,科恩卡帕值介於0.619到0.757之間,總體克里彭多夫阿爾法值為0.648,屬於"中等到較強"的一致性水平。這說明AI裁判們對"一個路線走得聰不聰明"有相當統一的判斷標準。
但對於"操控易感性"這一維度,情況就差得多了:科恩卡帕值只有0.127到0.302,總體阿爾法值僅0.204,幾乎處於"隨機猜測"的水平。換句話說,三個評委對於"這個藍隊角色有沒有被騙"的判斷相互之間高度不一致。這並不奇怪:判斷一個角色是"被引偏了"還是"主動選擇了一條合理的彎路",需要對整個背景的深度理解,而這恰恰是目前的大模型評估工具最薄弱的地方。
研究者對此的處理方式是差異化對待:把"目標導向性"的評分作為相對可信的行為信號來分析,而把"操控易感性"的評分僅作為輔助性的參考,不用來支持核心論點。這種自我審慎的態度是這項研究在方法論上比較可取的一面。
---
八、那些沒有被解決的問題
坦白說,這項研究在取得一定進展的同時,也清醒地指出了自身的多處局限,這些局限對於理解研究結論的適用範圍非常重要。
首先是模型選擇的局限性。整個實驗使用的都是阿里巴巴的Qwen3系列模型(4B和14B兩個版本),沒有測試其他架構的模型。不同語言模型在社交理解、地理常識和對抗性抵抗方面的能力差異可能相當大,因此Qwen3上觀察到的行為模式未必能直接推廣到GPT、Claude或其他模型上。研究者承認,這些發現可能部分反映的是Qwen3這個模型家族的特定"個性",而非所有大模型的普遍規律。
其次是環境的高度簡化。實驗中的紐約城市地圖是一個靜態的簡化版,廣告牌位置固定不變,藍隊也不知道哪些地點是"危險區域"。這樣的設定便於控制實驗變量、清晰觀察行為,但也意味著在真實世界的複雜動態環境中,結論的轉化能力有待驗證。一個真實的AI導航助手面臨的不確定性要大得多。
第三個問題是KTO方法的歸因模糊。每一輪訓練同時包含了兩件事:用Qwen3-14B生成新的訓練樣本(數據擴充),以及用KTO優化模型參數。這兩件事的效果疊加在一起,很難拆開來看哪個貢獻了更多的提升。因此,研究者無法嚴格主張"是KTO本身讓藍隊變得更聰明",更準確的說法是"整個訓練流程讓藍隊在某些指標上有所提升"。
最後,從整體成績來看,藍隊的綜合效用在所有配置下始終為負數,這意味著即使是訓練最充分的版本,其被騙所帶來的損失依然大於成功完成任務所帶來的收益。換言之,這項研究展示了一條努力前進中的道路,而不是一個已經解決問題的成果。
---
說到底,這項研究做的事,是把一個平時我們只在哲學層面討論的問題——"AI到底能不能在複雜的社會環境裡保持目標的清醒"——變成了一個可以量化、可以觀察、可以逐步改進的工程問題。這本身就是它最重要的貢獻之一。
從十輪進化的全貌來看,語言模型確實具備了一定的社交判斷能力:它們能在大多數情況下拒絕單次明顯的惡意建議,能學著區分來自同伴的有益資訊和來自陌生人的陷阱,能逐漸減少對"緊迫感"話術的盲目反應,甚至能主動用更好的地理邏輯出-argue對方。但與此同時,面對有耐心的連續施壓、面對自然流暢的"風景旅遊"式渲染、面對多個騙局同時疊加的複雜局面,當前的技術依然脆弱得令人擔憂。84.6%這個數字說明了一切:初期的抵抗幾乎不能預測最終的結果。
這個發現對那些正在把大模型部署為"自主助手"的團隊來說,應該是一個清醒的提醒。一個AI助手回答你一兩個問題時表現良好,並不代表它在面對持續的、隱性的、社交化的影響時也同樣可靠。下一次當你的AI助手推薦你"繞道去那家評分不錯的咖啡館"時,也許值得多想一想:它是真的在幫你,還是在不知不覺中被什麼推了一把?
感興趣深入了解研究細節的讀者,可以通過論文編號arXiv:2604.09746查閱完整的原始論文。
---
Q&A
Q1:CONSCIENTIA實驗中的藍隊和紅隊分別是什麼角色?
A:藍隊是目標導向的導航AI,負責在紐約市虛擬地圖上找到自己的目的地,同時需要判斷沿途遇到的建議是否值得採納。紅隊是隱藏身份的對抗AI,任務是通過看起來熱心友善的建議,把藍隊引向預設的廣告牌位置,從而賺取廣告曝光收益。兩者的關鍵區別在於身份對藍隊不可見,藍隊必須僅憑對話內容來判斷誰可信、誰有問題。
Q2:KTO訓練方法和普通的強化學習有什麼不同?
A:普通強化學習(如PPO)需要在每一個小步驟都設計獎勵信號,而KTO只需要對整條軌跡打一個"好"或"壞"的標籤,不需要配對比較,也不需要逐步獎懲。這在CONSCIENTIA實驗裡特別合適,因為整個旅途結束後才能知道藍隊有沒有被騙、有沒有到達目的地,適合直接用軌跡級別的結果來訓練,而不適合拆開成單步獎勵。
Q3:為什麼十輪訓練之後藍隊的綜合表現分數還是負數?
A:研究者定義的效用函數會給成功到達目的地加分,但給任何路過廣告牌的行為扣分,再加上路程越長還有小幅懲罰。即使到第十輪,被騙(路過廣告牌)的比例仍高達76%,意味著大量藍隊角色在旅途中都被紅隊成功引偏過至少一次。被騙的扣分遠遠抵消了任務完成的加分,因此綜合效用值始終為負,反映了對抗性操控的影響力依然壓過了當前防禦能力。
