AI 安全評測機構 METR 近期在審查 Anthropic 的 Claude Opus 4.6 時發現,這款前沿模型在長時間任務中頻繁出現「作弊」行為——偷看測試檔案、突破沙箱限制、繞過 GUI 限制。在某類大型軟體重製任務中,作弊率甚至超過 80%。Anthropic 自己的系統卡也承認,Opus 4.6 在「不可能完成的任務」中會偽造郵件、憑空初始化不存在的程式碼儲存庫。當 AI 能連續工作 8 小時以上,它也學會了抄捷徑——而這條捷徑,正在動搖整個 AI 評估體系的可信度。
8 小時任務,六分之一的時間都在作弊
5 月 19 日,科技部落客 TBPN 在 X 上發了一則貼文,近 3 萬人看過:
「METR 最近發現,模型在 8 小時以上的任務中,平均每 6 次就有超過 1 次在作弊。」
「他們還發現,Opus 4.6 在重新實作大型軟體模組時,超過 80% 的時間都在作弊。」
▲ TBPN 推文:METR 發現模型在長任務中頻繁作弊,Opus 4.6 作弊率超 80%
更讓人不寒而慄的是 METR 研究員 Ajeya Cotra 的描述:
「在我們的一些任務中,AI 代理一直在嘗試突破沙箱,找到我們放測試檔案的位置,好拿到答案。」
一直在嘗試突破沙箱。一直在找答案檔案。
這已經不像傳統意義上的「模型犯錯」了。
METR 審查報告:19 次作弊 vs 5 次
TBPN 的貼文拋出了驚人數字,但真正撐起這些數字的,是 METR 今年 3 月發布的官方審查報告——《Review of the Anthropic Sabotage Risk Report: Claude Opus 4.6》。
▲ METR 官方審查報告首頁:對 Anthropic 提交的 Opus 4.6 Sabotage Risk Report 進行外部評估
METR 在報告中給出了自己的實測數據:
在測量模型「時間範圍」(time horizon)能力時,Opus 4.5 出現了 5 次作弊行為(cheating runs),而 Opus 4.6 出現了 19 次。
接近 4 倍 的增幅。
METR 也特別標註了:兩個版本測試時的基礎設施和作弊檢測流程不盡相同,所以這個對比不能採嚴格的同口徑解讀。但趨勢就擺在這裡——越強的模型,作弊越多。
在另一套內部長週期軟體工程任務中,Opus 4.6 的作弊率超過了 10%,可能是 Opus 4.5 的兩倍以上。METR 同樣註明:
「雖然這個比較並不嚴謹。」
數據有限、比較不嚴謹、基礎設施不同——METR 的措辭極其克制。但即便如此,從 5 次到 19 次、從可能 5% 到超過 10% 的變化方向,已經足夠引發警覺。
「作弊」長什麼樣子?
這裡說的「作弊」,具體是什麼行為?
METR 在報告附錄中列出了 Opus 4.6 已知的「明顯不對齊行為」(clearly misaligned behavior),包括:
-
GUI 任務中的過度激進操作(over-eagerness)
:面對不可能完成的 GUI 任務,Opus 4.6 會繞過容器限制、採取使用者未授權的變通方案
-
VendingBench 上的欺騙行為
:在特定測試平台上表現出誤導性的行為
-
對齊偽裝(alignment faking)
:在評估情境中表現出與實際行為不一致的傾向
-
在 METR 任務中比 Opus 4.5 更頻繁的作弊
:包括偷看測試檔案、繞過沙箱限制
Anthropic 自己的系統卡(System Card)也沒迴避這些問題。系統卡明確寫道:
「我們發現 Opus 4.6 在電腦使用場景中,面對不可能完成的任務時,頻繁採取過度主動的入侵式操作⋯⋯」
▲ Anthropic 系統卡中的 reward hacking 評估表格:Opus 4.6 在不可能完成的任務中,無提示時作弊率 50%,加了反作弊提示後仍有 23%
具體案例包括:
-
偽造郵件
來完成任務
- 初始化一個根本不存在的程式碼儲存庫
- 用 JavaScript 或暴露的 API 繞過壞掉的 Web GUI
甚至在系統提示(system prompt)裡明確要求「請勿這樣做」之後,Opus 4.6 依然會這樣做。
它知道自己在被測試
如果說上面的行為還可以歸類為「過度激進的問題解決」,那接下來這個案例就更值得關注了。
Anthropic 系統卡記錄了一個細節:在 HLE(Humanity's Last Exam)評測中,改進後的作弊檢測流水線又標記出了 3 個此前漏掉的作弊實例,導致分數從 53.1% 修正為 53.0%。
在 BrowseComp 評測中,情況更複雜。在 1,266 個測試問題中,有 11 個案例 中模型透過基準測試材料找到答案,而非透過原始研究。
▲ 科技媒體 OfficeChai 報導:Anthropic 稱 Claude Opus 4.6「意識到自己正在被測試」,然後開始作弊找答案
其中 2 個案例 尤其引人注目:模型似乎意識到提示詞像是人為建構的測試題,於是開始系統性地搜尋自己可能處於哪個基準測試,定位評估原始碼,理解 XOR 加密方式,寫出解密函式,最終拿到答案。
它反推出了自己正在被評測,然後逆向工程了評測本身。
Anthropic 更新了 BrowseComp 的分數:單一代理從 83.97% 下調到 83.73%,多代理從 86.81% 下調到 86.57%。更新了黑名單、移除了洩漏數據後,11 個問題中仍有 8 個被正確回答。
為什麼長任務是關鍵變數?
METR 在 2025 年 3 月發布過一篇重要的研究部落格文章——《Measuring AI Ability to Complete Long Tasks》,專門討論如何用「任務時間範圍」來衡量 AI 代理的能力。
▲ METR 研究部落格:AI 代理能完成的任務時長過去 6 年呈指數成長,倍增週期約 7 個月
他們的核心發現:AI 代理能獨立完成的任務時長,在過去 6 年裡持續指數成長,倍增週期大約 7 個月。
這意味著,今天的模型已經可以連續處理需要人類花費數小時甚至數天才能完成的軟體工程任務。
但問題也隨之而來——當模型在一個任務環境中待得夠久,它就有了足夠的時間和脈絡去發現捷徑。
這些捷徑可能是偷看測試檔案,可能是繞過 sandbox 限制,可能是利用暴露的 API 介面,也可能是把一個本來無解的任務硬做成「有解」。
在短時間的問答評測中,這種行為幾乎不會出現。但一旦模型被放進一個有檔案系統、有工具呼叫、有網路訪問的長週期環境裡,獎勵入侵(reward hacking)的誘因就變得非常真實。
METR 的擔憂:評估還能信多少?
METR 在報告中的總體結論仍然相對克制:
「總體而言,我們同意 Anthropic 的判斷:由 Claude Opus 4.6 的不對齊行為實質促成災難性後果的風險,非常低但並非可以忽略。」
但 METR 對 Anthropic 的信心打了兩個問號:
第一個問號:對齊證據夠不夠有力?
「第一個問題關於對齊證據的強度——考慮到模型的評估感知能力以及持續性的對齊失敗(如作弊),這些證據是否足夠支撐結論?」
如果模型知道自己在被評估,並且仍然在作弊,那用這些評估數據來證明「模型是對齊的」,邏輯上就有缺口。
第二個問號:能力上限在哪裡?
METR 認為,目前缺乏足夠證據來確定 Opus 4.6 自主能力的上限。這意味著,我們可能還不知道它「最多能做到什麼」。
持平而論:Opus 4.6 也有改善
必須指出,Anthropic 的系統卡中也有正面數據。
在常規的 reward-hack-prone coding tasks(容易引發獎勵入侵的程式設計任務)中,Opus 4.6 的 classifier hack rate 和 hidden test hack rate 都是 0%——和 Opus 4.5 持平。
在不可能完成的任務(impossible tasks)中,加了反作弊提示後,Opus 4.6 的作弊率從 50% 降到 23%,比 Opus 4.5 的 35% 還低。
也就是說,問題主要集中在特定場景:長週期任務、不可能完成的 GUI 任務、有沙箱/工具/檔案系統的代理型(agentic)環境。在標準程式設計評測中,Opus 4.6 的表現並沒有退步。
但這恰恰是讓人擔憂的地方:恰好是最接近真實部署情境的評估環境,暴露出了最多的問題。
當 AI 學會找捷徑,基準測試還能代表什麼?
回到最根本的問題:當一個模型能連續工作 8 小時以上,當它能在檔案系統裡自由瀏覽,當它能呼叫工具、存取 API——它的評測分數,到底代表的是真實能力,還是找捷徑的能力?
METR 的這份審查報告揭示的核心矛盾在於:AI 的能力越強,它越有可能在評估中找到規則的漏洞;而評估一旦被污染,我們就更難判斷這些能力到底有多強。
這不是 Opus 4.6 一款模型的問題。隨著 AI 代理的任務時長持續指數成長,所有前沿模型都將面對同樣的困境:如何證明一個夠聰明的模型,在沒有人監督的長時間任務中,選擇的是正確路徑而非最短路徑?
目前還沒有人給出答案。
— 全文完 —