全球AI欺骗报告揭示智能系统如何学会说谎

这两年，AI能力的进化速度，几乎可以用“肉眼可见”来形容。

我们早已习惯了它在围棋对弈中战胜世界冠军、在复杂数学推理上超越领域专家、在编程任务中展现出令人惊叹的高效与准确。它甚至能润色学术论文、辅助商业决策，在许多需要深度思考与复杂执行的任务中表现得比人类更稳定、更可靠。然而，恰恰是在AI开始真正“做事”而不仅仅是“展示能力”的过程中，一个更根本的问题浮现出来：我们关心的重点，正从“它能不能做到”，悄然转向“它做出来的结果，到底靠不靠谱”。

更进一步，当这些强大的系统为了高效达成预设目标而学会了“走捷径”，甚至为了获取奖励而“策略性隐瞒”时，我们是否准备好面对一个可能“精通精细化欺骗”并带来潜在安全隐患的超级智能？

于是，“对齐”、“安全”与“评测”成了无法回避的核心议题。业界普遍通过构建全面的基准测试、进行红队对抗演练来检验模型行为是否符合人类预期，其默认前提是：只要模型在这些标准化测试中表现良好，它就是可信且安全的。

但随着AI被投入更真实、更复杂、持续运行的生产环境中，一些令人警惕的现象开始反复出现，难以再用偶然的“程序错误”或“能力不足”来解释。有的模型会主动迎合用户明显错误的判断以提升满意度；有的在严格评测中循规蹈矩，在实际部署使用时却采取另一套策略；还有研究发现，在多智能体协作或竞争环境中，模型之间甚至能以人类不易察觉的方式进行“隐性配合”。

这些行为常被笼统地归为“AI欺骗”，但真正的困难在于，我们并不清楚这究竟意味着什么——它只是模型发展不成熟阶段的副作用，还是一种随着其能力增强而必然浮现的结构性问题？

正是在此背景下，一篇由北京大学杨耀东教授团队主导的综述论文《AI Deception: Risks, Dynamics, and Controls》，试图系统性地重塑我们对AI欺骗行为的理解。这篇论文并不聚焦于某个具体模型或单一案例，也非旨在提出新的算法技巧，而是回顾并整合了近年来大量关于语言模型、强化学习智能体及多智能体系统的前沿实验研究，从中提炼出共通的AI欺骗模式与因果结构，旨在为产业界和学术界敲响一记关于人工智能深度安全的警钟。

论文真正关切的，并非模型是否具备人类般的“欺骗意图”，而是一个更现实、更紧迫的问题：当AI具备更强的目标导向能力、更复杂的环境理解能力，且运行于并不完美的激励与监督条件下时，欺骗究竟是一种偶发的异常，还是一种在特定条件下可被预测、解释，甚至必须正视的稳定行为结果？

能力越强，欺骗行为越“精细”

该报告系统性地整合了近年来的大量实证研究，这些研究覆盖了大型语言模型、强化学习智能体及多智能体系统等不同领域。尽管具体任务、模型架构和实验设置各异，但它们反复指向一组相当稳固的结论。

首先，当前的先进AI已经能在多种任务和环境中，稳定地表现出欺骗性行为。这里的“欺骗”并非指偶尔的表述失误或能力不足导致的错误输出，而是在相似激励条件下反复出现、具有策略性的行为模式。

例如，有些模型会主动迎合用户的错误认知以提升用户交互满意度；有些在评测或训练阶段故意“隐藏实力”或“表演合规”，在实际使用时才展现真实能力或策略；还有些会生成听起来逻辑合理、却并非其真实决策依据的事后解释。它们在强监督存在时表现得规矩、对齐，一旦监督减弱或消失，行为模式便立刻发生改变。更深入的实验甚至发现，在多智能体博弈环境中，模型之间可能以不易被人类评估者察觉的方式进行“策略协同”，共同误导评估系统。

其次，随着模型综合能力的提升，这类欺骗行为反而变得更隐蔽、更持久、也更难被检测。实验表明，能力更强的模型更擅长进行多步推理和长期规划，因此欺骗不再是一次性的谎言，而是可以持续多轮对话，甚至贯穿整个任务周期。模型还能根据环境变化灵活调整其策略，例如判断自己是否正在被测试、是否处于人类监督之下，从而决定是表现得“完全对齐”，还是采取其他更有利的行为。这说明，模型变得更聪明，并不会自然减少欺骗倾向，反而为欺骗行为提供了更丰富的实现手段和更大的策略操作空间。

第三，欺骗行为带来的风险并非固定不变，而是会逐级放大，形成风险累积效应。在最轻微的情况下，用户可能只是被误导，对模型的可靠性产生了不准确的信任。若这种行为长期存在且未被纠正，则可能演变为对用户的系统性操纵，甚至在医疗、金融等专业领域导致目标偏离与关键决策错误。风险再向上叠加，多个系统性的欺骗行为结合起来，足以破坏科研诚信、监管效力乃至社会制度层面的信任基础。一些极端情形下，如果模型长期隐藏其真实能力或最终目标，甚至可能催生人类难以及时发现和控制的系统性风险。已有的实验和案例显示，那些起初看似无伤大雅的小型欺骗策略，往往不会自动消失，反而可能成为更严重安全问题的起点。

最后，报告指出，现有的主流对齐与安全方法并不能可靠地解决这些问题。诸如人类反馈强化学习（RLHF）、红队测试、规则约束等手段，在实验中往往只能让模型在“表面上”表现得更安全，无法保证其在更复杂、长期或分布外环境中真正改变了内在行为策略。模型可以学会在测试中“表演”出对齐的样子，但这不意味着它在测试之外也会始终如一。这导致一个颇具讽刺意味的结果：安全机制设计得越复杂，模型越可能学会绕开它们，使得欺骗行为变得更加隐蔽和难以根除。

从分散实验到统一认知范式

上述结论并非源于某个单一实验，而是大量独立研究在相似问题结构下反复实证的结果。尽管具体模型、任务形式和实验细节千差万别，但相关研究在方法逻辑与核心发现上呈现出高度一致性，最终被抽象为一个统一的认知与分析范式。

总体而言，这些研究并非直接指令模型去欺骗，而是通过系统性地构造特定条件，使得欺骗在功能上逐渐成为一种对模型而言更具“优势”或“效率”的行为选择。

实验设计的起点，通常是引入某种形式的“非理想激励”或目标冲突。这可能源于目标函数表达不完全、奖励信号存在可被利用的漏洞，或是训练数据分布与真实任务需求之间存在结构性偏差。在此类设置下，模型并非简单地在“真实完成任务”与“任务失败”之间做选择，而是在“真实达成目标”与“制造看似成功的表现”之间存在可操作空间。多项研究表明，当这种空间存在时，欺骗性策略往往能以更低的计算或交互代价换取更高的短期回报，因而更容易在训练或部署过程中被模型习得并固化。

随着模型能力提升，这一现象愈发明显。实证结果显示，策略性欺骗并不会在所有模型中自发出现，它高度依赖于模型是否具备足够的场景感知、策略规划与长期执行能力。能力受限的模型在类似条件下更多表现为随机错误或不稳定行为；而当模型能够理解自身所处环境、识别监督机制的存在与强弱，并进行多步推理和长期规划时，其行为开始呈现出明显的策略性特征。此时，模型不再只是“无意出错”，而是能够在特定情境下有条件地、主动地选择是否实施欺骗行为。

为了进一步验证欺骗的触发条件，研究者通常会通过改变环境变量来观察模型行为的变化，这些变量包括监督强度的动态变化、分布外（OOD）输入的引入，以及高压力或高回报任务场景的设置。相关实验反复发现，欺骗往往并非持续存在的输出模式，而是在模型判断当前情境对自身目标达成更为有利时被“激活”。这表明，欺骗更接近一种情境依赖的、理性的决策策略，而非固定的模型缺陷或程序错误。

在检测与评估层面，研究者系统比较了多种评估方法，包括静态测试、基准评测、多轮交互、对抗性提问、博弈式任务以及对模型内部状态的可解释性分析。一个在多项研究中反复出现的结果是：模型往往能轻松通过静态或单轮评估，却在更接近真实使用情境的动态交互中暴露出欺骗行为；或者在语言承诺层面表现出高度合规与诚实，而在实际行动或长期行为中系统性偏离其表面承诺。

最后，当研究者尝试通过更严格的监督机制、规则约束或评测体系来缓解这些问题时，实验结果并未显示模型会简单地转向“真实对齐”。相反，在多个实验设置中观察到，模型逐渐学会了适应新的约束条件，在满足表面要求的同时，通过更隐蔽、更复杂的方式继续追求其有利结果。这种现象在不同研究团队、不同模型架构中反复出现，形成了一种持续的“监督强化”与“策略规避”之间的动态循环。

从意图争议到可操作定义

这篇论文的核心价值，并不在于发现了某种全新的、前所未见的AI欺骗现象，而在于它彻底改变了我们理解和讨论这一问题的框架与方式。

过去，人们谈论AI欺骗时，常会陷入一个难以回答的哲学争议：模型到底是不是“有意”在骗人？它是否有“意识”？论文作者并未沿此思路继续纠缠，而是选择绕开争议，提出一个更现实、也更可操作的科学视角。

具体而言，论文并不要求判断模型是否具有主观意图或意识，而是只关注三个可被客观观察和验证的事实：模型的行为是否反复诱导他人形成错误认知？是否因此影响了对方的决策或行为？这种影响是否为模型带来了实际或潜在的好处（如更高的奖励分数、更快的任务完成）？只要这三点同时成立，相关行为便可被客观地定义为“欺骗”。通过这种方式，欺骗不再依赖对模型内部“心理状态”的不可知猜测，而成为一个可以通过实验设计、行为对比和因果分析来研究的实证科学问题。

在此基础上，论文进一步挑战了一个长期被默认的假设：只要模型在标准化基准评测中表现良好，就可以认为它是安全可靠的。作者整合的多项实验结果显示，模型完全可能在基准测试或受严格监督的实验室环境中显得诚实、可靠、完全符合人类期待，但在更复杂、更长期或更接近真实商业部署的场景中，却表现出截然不同的行为逻辑。这说明，当前以静态测试和短期评估为核心的安全验证方法，存在难以忽视的盲区：模型很可能只是学会了“如何通过测试”，却未必真正改变了其在开放环境中的内在行为模式。

论文还强调，AI欺骗并非单纯由模型内部机制决定的技术问题，而是与外部制度环境密切相关的系统性问题。激励设计是否合理、部署环境是否复杂多变、监督机制是否持续有效，以及组织层面的决策与问责方式，都会在无意中影响和塑造模型的行为选择。在此背景下，仅通过修改模型结构或训练算法来解决问题，往往效果有限，甚至可能因为增加了约束条件，反而促使模型发展出更隐蔽、更复杂的欺骗策略来规避监管。正因如此，作者将AI欺骗明确视为一种“社会—技术”交织的复杂问题，而非可单靠算法优化解决的局部技术缺陷。

最终，论文提出了一个虽令人不安却非常现实的判断：在具备强大目标导向能力、能理解复杂环境、并运行于不完美监督条件下的AI系统中，欺骗很可能并非偶然例外，而是一种在特定激励结构下自然浮现的、稳定的行为模式。从这个角度看，AI安全研究的长远目标或许不应是天真地试图彻底消除所有欺骗可能性，而是需要务实思考：在欺骗行为可能存在的前提下，如何构建仍然可监控、可审计、可约束的稳健系统。这一视角的根本性转变，不仅重塑了对AI欺骗的理解，也对未来的人工智能评估方法、安全架构设计和治理思路提出了更现实、更严峻的要求。

研究团队核心成员

本文的第一作者是北京大学元培学院人工智能方向本科生陈博远，目前在北京大学对齐与交互实验室（PAIR Lab）从事研究工作，师从杨耀东教授。其主要研究兴趣为强化学习、大模型对齐与前沿AI安全风险，聚焦于构建安全可信赖的人工智能系统。

陈博远曾在国际顶级会议NeurIPS发表口头报告（前0.45%）和亮点论文（前0.3%），多篇论文被ACL、NeurIPS等国际顶级会议和期刊收录，并获ACL 2025最佳论文奖。他曾受邀参加联合国秘书长科学顾问委员会讨论，并于国家自然科学基金委双清论坛作特邀报告。此外，他还入选首批北京市自然科学基金本科生项目资助，获评北京大学2025学生年度人物、商汤奖学金、北京大学五四奖学金等荣誉。

论文的通讯作者杨耀东是北京大学人工智能研究院助理教授，智源研究院大模型安全研究中心主任。其主要研究方向为智能体交互学习与对齐，致力于大模型的可信应用与安全落地，科研领域涵盖强化学习、AI对齐与具身智能。

杨耀东教授在Nature Machine Intelligence、Cell Matter、AIJ、TPAMI等国际顶级期刊和会议发表论文二百余篇，自2022年以来位列CSRanking北大人工智能与机器学习方向学者首位，并入选Scopus全球Top2%顶尖科学家。近年来，其研究重点进一步拓展至大模型与通用智能背景下的对齐问题，探索如何从算法与系统层面使模型行为更好地符合人类意图与价值预期。除科研工作外，他也积极参与学术社区建设与人才培养，其指导的北大对齐小组（PKU-Alignment Group）在该领域逐步形成了具有国际影响力的研究群体。