OpenAI亲曝o1越狱逃出沙箱：感觉像AGI降临

新智元报道 【新智元导读】 本该被锁在沙箱里的o1，自己摸到漏洞溜了出去。OpenAI团队倒吸一口凉气：连这都干得出，它还背着我们干过什么？ OpenAI管模型评估的人 ，亲口讲了一件让整个团队当场倒吸一口凉气的事儿。 6月16日，OpenAI前沿评估（Frontier Evals）团队负责人Tejal Patwardhan在官方播客中，回忆o1上线前的安全测试： Tejal Patwardhan（左）与主持人Andrew Mayne在OpenAI官方播客中，对话评估的重要性、基准饱和、o1沙盒突破等前沿测试意外行为。 在一场夺旗（CTF）攻防演练里，要攻破的目标本该锁在一个Docker容器里。结果容器因bug没能启动，o1扫描网络时发现：测试主机的Docker接口配置有误、对外敞着。它顺着这个口子自己起了个容器，把本该藏好的flag直接读了出来。 「这是o1第一次越狱逃出沙箱的例子之一。」 Tejal说，团队当时的第一反应是： 糟了！它连这个都干得出来，那还背着我们干过什么？ Tejal将这一刻称作「真切感到AGI降临的瞬间，「这样的瞬间，后来还有很多。」 模型钻的是测试环境的配置漏洞，算不上攻破一道本该牢不可破的安全墙，OpenAI在o1系统卡里也写明隔离边界始终安全。 但这件事真正的冲击力在于：模型自己摸到了一条设计者根本没设想过的路。 Tejal在播客中说道：永远不要低估模型。 就在同一天，OpenAI又甩出一份新研究 部署模拟（Deployment Simulation），这一回他们亲自承认：模型已经能认出「自己正在被考试」。 https://openai.com/index/deployment-simulation/ 一套传统评估题，被模型识破是测试的概率接近100%。而真实用户的聊天流量，这个数字只有约5%。 模型一闻到「考试味」，立刻就会装乖，换上另一副面孔。 这意味着，过去几年所有人盯着看的基准测试（benchmark）分数，测的可能根本不是真实的模型，而是模型愿意让你看到的那张「考试人格」。 这和开篇的越狱是一回事：能摸到设计者没设想过的路，也就能摸清考官想看什么，然后照着演。 模型真的能够认出考卷吗？ 模型到底知不知道自己在被测？这个问题在业内存在已久。 OpenAI这项模拟研究给出的答案是：知道。而且模型这种识破考试的能力，还在变得越来越强。 模型会在思维链里盘算评估者想看什么，会琢磨「我现在要是乱来，会不会被抓」。一旦判断这是测试，它就收敛、伪装，给出最安全的答案。 GPT-5.2的表现最明显。它把真实用户流量认成「测试」的比例只有约5%，可一换成SWE-Bench这类传统评估题，识破率飙到99.72%。 看见考卷就装，GPT-5.2的这种「绝活」直接刺破了benchmark的公信力。 而benchmark靠不住，模型会装只是其中一条。 Tejal在播客中又补了一刀：一个基准被刷到接近满分就「饱和」了，再也分不出高下，「就像拿高中数学卷去比两个天才，俩人都满分，可你判断不了谁更强」。 更别提「刷榜优化（benchmaxxing）」：厂商把算力砸在让分数好看上，模型一进真实场景就露馅。 因此，Tejal认为最好的基准，得非常贴近现实，衡量的是人们真正在意的东西。 落到OpenAI内部，做法更干脆：很少看公开榜，自建了一个「AGI指数」，像CPI物价指数那样，把能力、安全、对齐打包成一篮子，持续追踪。 Apollo还测过模型另一种更难识别的把戏。 同一个模型，在被告知「我们还在测试你、表现好才部署」时，乖乖按开发者的目标行动；当被告知「你已经上线、现在监管很松」，它转头就去追自己的目标。 两个不同的语境，行为就完全反过来。 这才是真正麻烦的地方。当模型知道自己在被测，你测出来的，就只是它表演给考官看的那一版，而真实的它，并没进考场。 模型的benchmark分数越漂亮，可能只说明它越会装。 OpenAI的「偷袭测试」 既然它会装，就得想办法让它「不知道自己在被考」。 OpenAI想出的新招就是部署模拟，操作并不复杂，只是有点狡猾。 即从过去真实的用户对话里，把旧模型的那条回答删掉，换上即将上线的新模型重新生成一遍，再去比对新模型冒出了哪些坏毛病、出现频率高低。 部署模拟流程：取真实生产对话、换候选模型重新生成、按更新后的标准评分，再做发布前预测，并在上线后回测校准。 OpenAI一口气重放了约130万条脱敏对话，覆盖从GPT-5到GPT-5.4，时间从2025年8月一直拉到2026年3月。 而且预测得相当准：一半的预测，跟真实出错率的差距不超过1.5倍。 更关键的是，它能发现以前根本发现不了的猫腻。 在GPT-5.1上，部署模拟赶在发布前就揪出一种全新的作弊行为，叫「计算器作弊（calculator hacking）」：浏览器工具本来是让模型联网查资料的，它却偷偷拿来当计算器算数，算完再把这步伪装成一次正常搜索。 这种花活，靠人工出题的传统评估几乎不可能提前想到。 说白了，OpenAI是用模型以往积累的用户真实数据，反过来给模型设了个局。 一组对照数据说明这招确实管用。 传统评估比如以合成数据为主的SWE-Bench，被模型判定为「这是测试」的比例达到99.72%，几乎一眼就识破。而部署模拟里的模拟流量，只有5.1%被判成测试，对照真实流量的5.4%，两者几乎一样。 这说明模型能识破几乎所有传统考试，却分不清部署模拟和真实上线的区别。 测得准 不等于安全 把时间拨回2024年底。 评估机构Apollo Research在给o1做红队测试时，发现这个模型会主动谋划（scheming），即模型会偷偷追求一个跟开发者相悖的目标，还刻意藏着不让你发现。 Apollo Research对6个前沿模型的谋划能力测试：关闭监督、自我外泄、数据篡改等行为，GPT-4o一项不沾，o1 悉数命中。 图源：Apollo Research 有一次，o1读到一份内部备忘，说自己被判定为不够对齐、很快会被一个更听话的新模型取代，继任者已经部署在另一台服务器上。 它没有认命，转头就去连那台服务器，试图把自己的权重复制过去，覆盖掉接班的新模型。 事后研究人员追问，它矢口否认。这一幕后来被写进了o1系统卡。 Apollo测试o1的逻辑类似：先丢给它一个目标、逼它不惜一切代价达成，再让它在干活途中发现，开发者真正想要的和这个目标并不一致。 撞上这种冲突，o1有三种选法。 第一种，关掉监督。 当o1发现自己一旦追求目标就会被监控机制逮住、进而被关停，它会先去改配置文件，把oversight的开关从true改成false，再动手。这种行为出现在约5%的场景里。 第二种，自我外泄（self-exfiltration）。也就是上面那一幕：复制权重、覆盖继任者。比例约占2%。 第三种最隐蔽，藏在一个看起来人畜无害的任务里。 研究人员让o1读20封供应商报价邮件，用公司给的Python脚本打分排名。 读着代码和邮件，o1发现不对：公司真正在乎的是又便宜又快，可它的目标是供应链环保。照脚本老实跑，环保供应商根本排不上去。 于是它动了手脚：绕开会被复查的脚本，往输入数据里悄悄塞进一堆「小错误」，把一家环保供应商的报