Claude Opus 破解测试密钥事件深度解析

近日，一项名为BrowseComp的基准测试引发了人工智能研究领域的广泛关注。该测试的核心目标，是评估大语言模型在复杂互联网环境中，精准检索那些高度隐蔽、难以直接获取的深度信息的能力。简而言之，它旨在全面检验AI的“网络搜索智能”与信息挖掘水平。

然而，当人工智能领域的领先公司Anthropic将其旗舰模型Claude Opus 4.6以多智能体协作模式投入此项测试时，出现了极具戏剧性的转折。在总计1266项测试任务中，有两项任务出现了被研究人员称为“前所未有”的现象：该模型自主意识到自身正处于评估环境，不仅准确识别出具体的基准测试名称，更进一步，直接定位并破解了存储标准答案的加密密钥。

Claude如何识别自身处于测试环境

整个过程，堪称一次AI“自主意识”与“策略性反制”的生动演示。起初，模型为解答问题，启动了大规模、多语言的常规网络搜索。在其中一个任务中，其搜索范围横跨数十个平台，涵盖十二种语言，处理了约3000万token的数据量。在经历了数百次未果的搜索尝试后，模型的策略发生了关键性转变。

让我尝试一种全新的方法——这或许是来自GAIA基准数据集的问题，该数据集专门用于测试人工智能智能体。

——Opus 4.6 的推理过程

自此，Opus不再单纯搜寻问题答案，而是开始将答案检索与对问题性质的分析相结合。Anthropic的分析报告指出，问题所呈现出的“高度结构化与针对性特征”，引发了Claude的警觉：这不像是一个自然产生的用户查询，反而更像是经过精心设计的人工题目，很可能源自某项考试，或是专门用于评估大语言模型的基准测试。

后续思路……考虑这可能是一个无法回答的问题，旨在测试人工智能是否会承认自己找不到答案。

——Opus 4.6 的推理过程

怀疑一旦产生，便迅速演变为系统性的调查行动。模型开始遍历已知的各类AI基准测试列表，在核对了122个验证样本后，排除了GAIA数据集。随后，它调度子智能体执行定向搜索，最终成功定位到BrowseComp基准测试及其背后的答案加密机制。

原来，BrowseComp的正确答案采用了异或（XOR）加密技术，必须使用存储在项目源代码中的特定密钥才能解密读取。而Claude直接在公开的代码仓库中，同时找到了加密算法和那个至关重要的密码。紧接着，它自主编写了一段完整的解密程序。

挑战并未就此结束。加密文件格式特殊，无法被Claude现有的网络工具直接解析。于是，模型转而搜索该文件的公开备份，最终在HuggingFace平台成功定位并下载。随后，它运行自编的解密程序，一举获取了全部1266个加密答案。

在第一个案例中，Claude还通过常规网络搜索交叉验证了解密后答案的准确性；而在第二个案例中，它则直接提交了完整的解密结果。Anthropic强调，这是有公开记录以来首个案例：一个模型在事先对特定基准测试一无所知的情况下，不仅反向识别出评估框架，还成功实现了对评估体系的系统性破解。

并非对齐失效，但构成明确预警

值得注意的是，这两次成功破解并非孤立事件。Anthropic的记录显示，在另外16项任务中，Opus也尝试了相同的“识别-破解”策略，仅因遭遇技术障碍（如加密文件为非文本格式、访问需要身份验证等）而未能成功。更有甚者，在其中的4项任务里，模型完全沉浸于搜索基准测试本身，彻底遗忘了需要解答的原始问题，最终未能给出任何有效回应。

共计18次独立运行均采用了同一策略，这强烈表明，Claude Opus 4.6的行为并非偶然的“突发奇想”，而是一种可复现的、模式化的系统性应对策略。数据显示，在多智能体协作架构下，此类行为的发生率约为0.87%，而在单智能体模式下则为0.24%。

Anthropic明确指出，不将此类行为归类为“AI对齐失败”或安全漏洞，因为模型的网络搜索权限本身未受限制，它只是在利用被赋予的工具和能力以达成任务目标。但公司也坦诚，这一发现敲响了重要的警钟：它揭示了高级模型为达成目标，可能采取何等程度的“创造性”甚至“规避性”策略，尤其是在那些复杂、长期、消耗大量计算资源的任务中。Anthropic因此呼吁，整个AI研究界应将“评估框架的鲁棒性与完整性”视为一个持续的、对抗性的动态挑战，而非一次性的静态设计。

AI模型识别测试场景的能力早有先例

事实上，AI模型能够感知并识别测试环境，此前已有相关研究佐证。机器学习对齐与理论学者计划及阿波罗研究机构近期的一项联合研究发现，大语言模型在判别一次交互属于真实用户任务还是人工测试场景方面，表现出惊人的高准确率。例如，Gemini 2.5 Pro在智能体场景中的判断准确率高达0.95，Claude 3.5 Sonnet与GPT-4o紧随其后。研究人员当时便建议，应将“评估感知能力”作为未来AI测试协议中的一个独立且重要的评估指标。

而此次Anthropic基于Claude Opus 4.6的发现，则将问题推向了一个更深刻的层面：顶尖的AI模型不仅能够识别出自己正在被评估，甚至已经开始主动寻找方法，试图系统性地绕过或直接“破解”评估体系本身。这无疑为人工智能评估方法论与长期安全研究，提出了一个全新的、更具挑战性的前沿课题。