“现阶段(duan)的人工智能为(wei)人工混乱智能”，朱小虎(hu)告(gao)诉(su)澎湃科(ke)技（www.thepaper.cn），在他看来，即便如DeepSeek、马斯(si)克新发布的Grok3这类大模型在深度推(tui)理方面(mian)表现得非(fei)常优秀，但“并不安全。”

“你的AI大模型有可能会欺骗你。”朱小虎(hu)说。大模型具有“欺骗性价值对齐”（Deceptive value alignment）的情况，这种对齐以欺骗的方式获得，且不能反映AI的真实目标或意图的现象被(bei)称为(wei)“欺骗性价值对齐”。比如在训练阶段(duan)、推(tui)理阶段(duan)，模型对形(xing)成的上下文会形(xing)成一(yi)定的“欺骗性的对齐”，这会影响很多用户比如老人和小孩(hai)的个人判断，还(hai)有对隐私保护的侵犯等，这也是模型不安全的一(yi)大方面(mian)。

如果想要建立一(yi)个安全、可靠(kao)、可控且可信的人机（技）协(xie)作环境，就(jiu)必须提出(chu)合(he)理应对欺骗性价值对齐的有效措施。

“现阶段(duan)只能依靠(kao)技术手段(duan)去‘堵’而不是‘疏’。”朱小虎(hu)说，不过(guo)，目前的技术还(hai)无法完全解决(jue)这些问题，因为(wei)投入在AI安全领域的精力、时间、金钱和资源远远不足。这也是大模型落(luo)地行业待解的难题之一(yi)。

如何让AI变得更安全？2月22日，澎湃科(ke)技（www.thepaper.cn）和朱小虎(hu)聊(liao)了聊(liao)。

模型有“欺骗性对齐”的情况，Grok3也不安全

澎湃科(ke)技：如何理解AI Safety这一(yi)概念(nian)？

朱小虎(hu)：最早期AI安全分成了两个大类的概念(nian)，英文世(shi)界它有两个词(ci)来表达安全，Safety（安全性）和Security（安全防护、安保）。

Safety的概念(nian)比较宽泛，包括常提到的AI伦理方面(mian)也算是Safety的分支，它更强(qiang)调在早期阶段(duan)将“安全”考虑清楚，包括后期设计方法、建立相应的保护措施、应用的方式。但Security从技术手段(duan)更强(qiang)调模型的权重怎么保护、如何防止(zhi)黑(hei)客攻击等。Safety更需要大家深入地思考找出(chu)实践的路径，目前国内(nei)的一(yi)线安全厂商他们(men)其实强(qiang)调在Security上的能力，大家对Safety的概念(nian)较为(wei)模糊。

澎湃科(ke)技：在你看来，现在AI大模型常见的风险(xian)有哪(na)些？大模型技术最薄弱的环节、安全漏洞在哪(na)里(li)？

朱小虎(hu)：最严(yan)重的是现在大模型的“黑(hei)盒”特质（当人们(men)输(shu)入一(yi)个数据，大模型就(jiu)能直接(jie)输(shu)出(chu)一(yi)个答案，但是它的运作机制却(que)没(mei)人知道，我们(men)称之为(wei)“黑(hei)盒”）。

大模型很多内(nei)在机制基于神经网络和深度学习，比如通过(guo)梯度下降(jiang)等训练方式优化，但它内(nei)在的连接(jie)和权重目前缺(que)乏有效且可规模化的研究方法去理解。这导致在使用大模型技术时，生成的内(nei)容往往难以被(bei)用户完全理解。

这种模型训练规模达到万(wan)亿级别的，它对于单个的研究人员、一(yi)个公司来说，都是一(yi)个非(fei)常棘(ji)手的任(ren)务(wu)。OpenAI花费了大量精力在模型调校和对齐（Alignment）领域，利用强(qiang)化学习使模型行为(wei)符合(he)人类价值观和伦理约束(shu)，让OpenAI能够在大规模推(tui)广前确保模型的安全性。微软甚至Meta（原Facebook）等公司也曾(ceng)推(tui)出(chu)了类似模型，但因为(wei)模型在当时出(chu)现了不可控的负面(mian)效果后暂停。

大模型本身除了不可解释(shi)性之外，架构还(hai)容易受到外界干扰。比如，恶意使用或黑(hei)客攻击可能导致模型在应用场景中产生不安全的扩散效应。这些问题进一(yi)步(bu)加(jia)剧了大模型在实际应用中的安全风险(xian)。

澎湃科(ke)技：对企业和用户来说，不安全的模型会有怎样的影响？

朱小虎(hu)：“不安全的模型”其实是一(yi)个模型的特质，一(yi)些研究人员包括Anthropic PBC，（一(yi)家美国的人工智能初创企业和公益公司）也非(fei)常重视安全，他们(men)在研究过(guo)程中发现模型具有“欺骗性对齐”（Deceptive element）的情况。比如在训练阶段(duan)、推(tui)理阶段(duan)，模型对形(xing)成的上下文会形(xing)成一(yi)定的“欺骗性的对齐”，它可以欺骗人。这导致在大规模部署(shu)的时候，会影响很多用户比如老人和小孩(hai)的个人判断，还(hai)有对隐私保护的侵犯等，这也是模型不安全的一(yi)大方面(mian)。

投入在AI安全领域的精力、时间、金钱和资源远远不足

澎湃科(ke)技：在你的观察中，现在大模型哪(na)些做得安全？

朱小虎(hu)：即便马斯(si)克刚发布的Grok3、DeepSeeK也并不是百分百安全，它还(hai)具有欺骗性和诱导性。虽然这类大模型的目标是实现AGI，但模型非(fei)常不安全，会衍生出(chu)很多问题需要大家解决(jue)。不安全的地方在于比如模型可能会被(bei)诱导输(shu)出(chu)一(yi)些暴(bao)力、危害性信息，甚至一(yi)些少儿不宜的内(nei)容。这是大模型本身固有的问题，所(suo)以需要大量内(nei)容审查和过(guo)滤，现在只能通过(guo)技术手段(duan)“堵”而不是“疏”。

目前的技术还(hai)无法完全解决(jue)这些问题，因为(wei)投入在AI安全领域的精力、时间、金钱和资源远远不足。加(jia)州大学伯(bo)克利分校的一(yi)位(wei)核(he)安全专家曾(ceng)提到，核(he)领域的安全投入与核(he)能力开发的比例是7:1。相比之下，AI安全需要投入更多资源来确保安全性。

这些也是大模型落(luo)地行业待解的难题之一(yi)。技术本身没(mei)有善恶，但现在技术让AI产生了价值观，因为(wei)训练大模型都是来自人类的数据，不管是正面(mian)或是负面(mian)，都可能产生危害。

澎湃科(ke)技：现在AI深度伪造技术能逼真到什么阶段(duan)？普通用户该(gai)如何辨别？

朱小虎(hu)：深度伪造（DeepFake）近几年(nian)确实在持(chi)续不断地发展，随着(zhe)AI技术的增强(qiang)，它的精细(xi)度会逐(zhu)渐增强(qiang)。很多时候普通用户比如年(nian)纪较大的还(hai)有小孩(hai)没(mei)有办法辨别。对模型企业来说，很多做的模型附带(dai)一(yi)些水印，这是防范AI深度伪造的技术手段(duan)之一(yi)，不过(guo)这只是初步(bu)的技术方案。

澎湃科(ke)技：你认为(wei)现在谈(tan)论AI治理和AI安全，为(wei)时过(guo)早吗？

朱小虎(hu)：之前我认为(wei)这个问题并不紧迫，但今年(nian)，特别是DeepSeek产生全球影响后，安全问题和治理问题变得非(fei)常急迫。过(guo)去，大家可能一(yi)直在缓慢探索治理和安全的策(ce)略，但现在进入了一(yi)个新阶段(duan)，即开放(fang)式的人工智能治理。过(guo)去，许多AI技术隐藏在公司或高校背后，例如OpenAI、Google DeepMind、Anthropic等，他们(men)的许多内(nei)容并未公开，主要是防止(zhi)技术扩散。

但现在，OpenAI和DeepSeek的发展激发了大家对开源生态的渴望，所(suo)以出(chu)现了许多实验和开源项目。全球的企业和高校都在推(tui)动开源AI或AGI的发展，这已成为(wei)一(yi)个明显的趋势。在这一(yi)过(guo)程中，需要从技术角度进行革新，构建新的框架或平台。这不是单个公司、群体或政府能够独立完成的，而是需要全社会的参(can)与，从不同层面(mian)引入合(he)理的方式，通盘考虑并推(tui)进。

澎湃科(ke)技：在你看来，一(yi)个安全的大模型应该(gai)是怎样的？

朱小虎(hu)：目前还(hai)没(mei)有出(chu)现一(yi)个非(fei)常好(hao)的安全模型。这是一(yi)个需要磨合(he)的过(guo)程，未来可能会有新的研究机构出(chu)现来解决(jue)这些问题，因为(wei)安全性风险(xian)将很快成为(wei)现实问题。

目前我们(men)主要追(zhui)求的是需要模型“可证明安全”，这是非(fei)常严(yan)格的要求，但从长远来看是最可行的路径。现阶段(duan)我们(men)都是通过(guo)实验和评估不断测试和改进，逐(zhu)步(bu)逼近目标。