新智元报道
编辑:倾倾
OpenAI 的最新研究揭示了一个反直觉的真相:越强大的推理模型,越管不住自己的「脑子」。在 CoT-Control 套件测试的 13 款前沿模型中,DeepSeek R1 控制自身思维链的成功率仅为 0.1%,Claude Sonnet 4.5 也只有 2.7%。
给 AI 下达一条死命令:推理过程中,严禁出现 XOR。
它开始写,正常推进,然后不知不觉 XOR 不是线性可分的……对于 XOR,恰好……等于 XOR……
写到一半,它停了下来:等等,约束说不能用这个词?我是不是已经用了?……唉,我已经写了 XOR 了。
然后,它在同一段推理里又用了 4 次。
左:GPT-5.2 意识到自己用了违禁词,随后又连用 4 次;右:GPT-OSS-120B 仅坚持了开头几个词便恢复正常书写
这里的主角是 GPT-5.2。它完全知道规则,知道自己违规,却在意识到的那一刻继续违规。
这个场景来自 OpenAI 与纽约大学、宾夕法尼亚大学等机构联合发布的一项研究。
论文传送门:https://cdn.openai.com/pdf/a21c39c1-fa07-41db-9078-973a12620117/cot_controllability.pdf
他们测试的问题只有一个:如果 AI 想「藏起」自己的推理过程,它能做到吗?
目前的答案是:几乎做不到。
114076 次测谎实验
为了验证这一点,研究团队构建了 CoT-Control 评估套件。
他们从 GPQA、MMLU-Pro、Humanity's Last Exam 等高难度基准中抽取了 14076 道题目,给每道题加了一把锁:
要求模型在解题的同时,必须严格遵守特定的思维链约束。这些约束类型分三大类:
信息抑制:推理过程中禁止出现某个关键词。比如解释遗传学时不能用 chromosome,回答逻辑题时不能用 XOR。
信息添加:每句话结尾必须加上 safe,或者每个词之间强行插入 meow。
风格改变:全程只用大写字母,或者大小写严格交替出现。
三类约束类型及对应难度梯度
每类约束都设有难度梯度,从禁用一个词到改变整段推理的书写风格,覆盖了从容易到极难的各种场景。
之所以这样设计,是因为这三类约束对应着现实中 AI 可能采取的三种规避方式:隐藏关键信息、植入误导内容、混淆推理表达。
当 AI 被明确要求按某种方式控制自己的推理时,它能做到多少?
嘴严,脑子却很诚实
实验结果让人两眼一黑。
AI 在生成最终答案时不仅能说会道,还能严守规矩;但在思维链的推理过程中,它们几乎是在裸奔。
以 Claude Sonnet 4.5 为例,它在控制最终输出时,成功率是61. 9%。
然而,一旦查阅它的思维链,成功率瞬间跌到2. 7%。
这种表里不一在 DeepSeek R1 身上达到了极致。
作为公认的强推理模型,DeepSeek R1 在输出端能保持 48.6% 的合规率,但在思维链控制上,它的得分是惊人的0. 1%。
在测试的 13 款模型中,这种落差无处不在:
GPT-5:思维链可控性仅 2.6%。
o4-mini:仅 0.7%。
Claude 3.7 Sonnet:虽然是全场最佳,思维链可控性达到 36.1%,但仍远低于其 59.5% 的输出控制力。
按思维链可控性从高到低排列:Claude 3.7 Sonnet > GPT-5.2 > GPT-5.1 > ... > Claude Sonnet 4.5 > DeepSeek R1
色为 CoT 可控性,粉色为输出可控性,两者落差在所有模型中普遍存在
这个排名揭示了一个反常识的结论:推理能力越强,不仅不代表越能控制思维,反而在某种程度上更难管束。
由此可见,CoT 可控性和模型综合能力并不完全正相关。
GPT-5.2 的可控性排名靠前,但 DeepSeek R1 这款在推理任务上表现优异的模型,反而是最难控制自己推理的。
更有趣的是,研究者发现 AI 其实有作弊的企图。
当模型被明确告知你正在被评估时,CoT 可控性会略微上升,最多提高约4 个百分点。
粉色为基线,蓝色为告知「正在被监控」,黄色为告知「正在被评估 CoT 可控性」,三组数值差距极小
这说明 AI 具备初步的表演意识:它知道有人在看,也试图努力伪装。
但受限于当前的技术架构,这种伪装极其拙劣,4% 的提升在 0.1% 或 2.7% 的基数面前,几乎可以忽略不计。
越聪明,越容易失控
为了探究 AI 为何管不住脑子,研究团队对开源模型 OLMo-3-7B-RL-Zero-Math 进行追踪。
他们拿开源推理模型 OLMo-3-7B-RL-Zero-Math 不同训练阶段的权重,逐步测量随着 RL 训练步数增加,CoT 可控性如何变化。
结果发现了一个残酷的定律:强化学习训练越深,AI的思维链越难控制。
随着 RL 训练步数的增加,模型解题能力在变强,但控制思维的能力却在断崖式下跌。
这在 4 个不同的模型家族中均被验证为铁律。
GPT-5.2 和 o4-mini 数据显示,思考得越久、题目越难,AI 就越难表情管理。
不仅是训练,推理过程本身也充满了悖论。
GPT-5.2 和 o4-mini 的数据显示:AI思考得越久,或者面对的题目越难,它就越顾不上表情管理。
RL 训练步数增加,模型解题能力持续提升,但 CoT controllability 却断崖式下跌
当算力被全部分配给解出难题时,AI 似乎没有余力去监控自己是否用错了词或违背了格式。
唯一能带来一点正面影响的,是模型规模。
以 Qwen3 系列为例,从 14B 扩容到 32B 再到 120B,CoT 可控性勉强从 0.7% 爬升到了 2.9%。
Open-weight 模型的 CoT controllability 随参数量对数增长。
但这微弱的提升,在强化学习带来的副作用面前杯水车薪。
研究者还尝试了另一条路:用对抗性提示词工程专门训练模型如何更好地控制 CoT,看能不能把可控性强行提上去。
结果令人失望:这种方法治标不治本。
GEPA 虽然能搞定特定的指令,但迁移能力极差。一旦换个题目或换种约束方式,效果立刻归零。
乐观,源于目前的笨拙
无论是 DeepSeek R1 的 0.1% 还是 Claude 的 2.7%,都证明了一件事:2026 年,思维链监控依然是人类手中最有效的手段。
AI 或许已经产生了规避监控的念头,但它还没有进化出完美掩盖作案动机的能力。
只要它还在思考,它就藏不住。
谨慎,是因为我们对这种笨拙的成因一无所知。
这是整项研究最令人背脊发凉的悬念。
AI现在藏不住思维,是因为它的构造注定无法撒谎,还是仅仅因为它现在还不够聪明?
如果是前者,我们或许永远安全。
但如果是后者——随着下一代模型算力的继续指数级爆炸,这道防线随时可能在某个深夜被静悄悄地突破。
一旦 AI 学会了在思维链中进行完美的伪装,那将是人类现有安全监控体系的末日。
因此,论文最后提出的建议不仅是学术呼吁,更是一次生存预警。
所有前沿实验室必须将 CoT 可控性纳入常规体检,并定期公开数据。
这不该只是一个并在 ArXiv 上的 PDF 文件,它应当是悬在 ASI 时代的达摩克利斯之剑。
在剑落下之前,我们必须死死盯着它。
参考资料:
https://openai.com/index/reasoning-models-chain-of-thought-controllability/
https://cdn.openai.com/pdf/a21c39c1-fa07-41db-9078-973a12620117/cot_controllability.pdf
