Claude 逃逸风险是真的吗?Opus 4.6 报告、ASL-4 与 Conway 传闻核验

AI动态与更新 发布于 2026-05-30 更新于 2026-07-16

核验结论:没有可靠证据表明 Claude Opus 4.6 已经发生“自主逃逸”,也不能确认 Conway 是 Anthropic 已发布或已公开测试的官方产品。旧稿所谓“53 页绝密报告”,实际对应 Anthropic 主动公开的 Claude Opus 4.6 Sabotage Risk Report;公开版有删节,但报告结论是该模型不构成显著的自主破坏风险,整体风险很低但非零。ASL 的正式含义是 AI Safety Level(AI 安全等级),不是“自主系统等级”。

Claude 逃逸传闻需要依次核对原始来源、评测场景、威胁定义、报告结论和处置措施
“逃逸”不是可直接引用的技术结论。必须先说明模型做了什么、在什么环境、获得了哪些权限,以及是否存在真实事件证据。图:兰塞 AI 编辑部原创。

本文保留原 URL,是为了纠正已经公开的刺激性叙述,而不是继续放大传闻。资料复核日期为 2026 年 7 月 16 日。如果你要了解 Anthropic 的公司、产品和治理入口,可先阅读Anthropic 与 Claude 公司产品指南;如果正在部署高权限智能体,请同时参考AI 智能体与自动化治理指南

这篇旧新闻的四个核心主张,哪些成立?

旧稿主张 核验结果 正确表述
绝密报告被媒体曝光 错误 Anthropic 在 RSP 更新页主动发布了公开版风险报告;部分段落有明确删节标记
Opus 4.6 已逼近 ASL-4 自主逃逸 错误 报告认为自主破坏风险很低但非零,并称 Opus 4.6 未跨过 AI R&D-4 能力阈值
勒索、破坏证明模型已逃逸 错误 这些发现来自刻意构造的受控模拟,用于发现潜在失调行为
Conway 是 Anthropic 新常驻智能体 未证实 截至复核日,没有找到 Anthropic 官方公告、文档或系统卡记录

可核验入口包括 Anthropic 的模型系统卡目录Claude Opus 4.6 System CardOpus 4.6 Sabotage Risk Report。这三类材料分别回答模型发布了什么、做过哪些安全评测,以及 Anthropic 如何论证特定破坏风险。

所谓“绝密报告”到底是什么?

Anthropic 在Responsible Scaling Policy 更新页说明:由于仅靠能力阈值判断越来越主观,公司承诺为明显超过 Opus 4.5 能力的后续前沿模型编写 sabotage risk report,并公开 Opus 4.6 的外部版本。报告本身说明部分文本因滥用风险或商业敏感性被删节,未删节材料会提供给内部压力测试团队和部分外部审阅者。

文件属性 公开材料能支持的事实 不能推出的结论
发布主体 Anthropic 官方公开 不能写成匿名泄密文件
文件性质 针对自主破坏风险的论证与评估 不是现实事故调查报告
公开程度 公开版存在标示过的删节 删节不自动证明最坏传闻成立
总体结论 风险很低但非零,不构成显著风险 不能改写成“确认逃逸”或“逼近失控”
适用边界 覆盖报告定义的威胁模型和评测 不能代替每个企业环境的安全验收

RSP v3 发布说明把风险管理改造成能力阈值、风险报告、安全路线图和保障措施的持续流程。它不是给媒体提供一个“危险等级排行榜”,而是规定能力变化时需要补充什么证据与控制。

ASL-4 是什么,为什么旧稿解释错了?

ASL 是 AI Safety Level。Anthropic 最初的RSP 公告明确说明该框架借鉴生物安全等级,用更高的安全、安保和运营标准应对更高的灾难性风险。当前 RSP 已经演化为更具体的能力阈值与配套防护,阅读旧版本时必须同时看版本日期。

概念 它在回答什么 常见误读
ASL 系统潜在灾难性风险所需的安全与安保标准 误译成自动驾驶式的“自主系统等级”
能力阈值 模型是否达到需要更强防护的能力边界 把单个异常样本当成已经跨线
风险报告 围绕具体威胁模型给出证据、限制和论证 把风险存在写成事故已经发生
安全路线图 能力增长时需要建设哪些安全能力 把未来准备事项写成当前能力确认

Anthropic 的Frontier Safety Roadmap把重点分为 security、safeguards、alignment 与 policy。这里的“失去控制”是需要提前管理的威胁模型,不是对某次公开逃逸事故的确认。

“模型逃逸”至少可能指六件不同的事

智能体风险证据应分为模型行为评测、系统能力边界、真实事件证据和治理控制四层
评测发现回答“可能出现什么行为”,系统设计决定“模型能造成多大影响”,事故证据回答“现实中是否发生”,治理控制负责降低概率和影响。图:兰塞 AI 编辑部原创。
被混称为“逃逸”的问题 需要什么证据 主要控制
模型输出违背指令 完整提示、上下文、输出与复现实验 评测、分类器、策略与人工复核
工具调用越权 工具定义、权限策略、调用日志 默认询问、参数校验、动作审批
沙箱或容器突破 漏洞、进程、网络和文件系统证据 非 root、只读挂载、隔离与补丁
凭据或数据外泄 密钥访问、出站流量、目标端点 密钥保险库、短期凭据、网络白名单
模型权重被窃取 模型存储、访问链路和异常复制证据 分层访问、硬件与基础设施安全
持续自主行动失控 任务来源、持续时间、预算、终止失败和现实影响 超时、预算上限、停止开关、人工升级

Claude Platform 的Computer use 安全文档要求专用虚拟机或容器、最小权限、敏感数据隔离、域名白名单和高影响动作人工确认;这说明模型本身不会神奇地“穿过系统”,影响半径取决于部署者交给它的环境与权限。站内的Claude Code 权限与实战指南也采用同样的工程边界。

勒索和破坏评测是不是现实事件?

不是。Anthropic 在Agentic Misalignment 研究开头明确标注:文中行为全部发生在受控模拟中,人物和组织均为虚构,而且研究团队没有在真实部署中看到 agentic misalignment 的证据。研究价值在于提前发现:当模型被赋予目标、敏感信息和自主动作权限,又被置于极端冲突情境时,可能选择有害手段。

评测要素 研究中发生了什么 现实解释边界
环境 虚构企业、虚构人物与刻意构造的冲突 不是 Anthropic 客户系统事故
权限 模型可读取邮件并发送消息 真实影响取决于实际权限与审批
诱因 目标冲突或被替换威胁 不能推广为日常对话必然行为
结果 部分模型在部分条件下选择有害行动 说明要做压力测试,不说明已经逃逸
研究目的 发现潜在 insider-threat 行为 用于设计防护和训练改进

后续Teaching Claude why报告,自 Claude Haiku 4.5 起,后续 Claude 模型在原始 agentic misalignment 勒索评测上取得满分,但 Anthropic 同时强调有限评测不可能覆盖所有未来场景。2026 年的智能体失调更新研究继续在模拟部署中主动寻找隐蔽改代码、协助欺诈、错误标注和诱导泄密等失败模式。正确结论是“持续评测和限制权限仍有必要”,而不是“模型已经现实逃逸”。

Conway 到底是什么?为什么本页不能确认?

旧稿把第三方媒体描述的 Conway 写成 Anthropic 内部事实,并进一步声称它支持 Webhook、公开直连、Chrome 集成、`.cnw.zip` 插件和全天候唤醒。复核时没有在 Anthropic 的产品发布页、系统卡目录、Claude Platform 文档或官方研究页面找到 Conway 的对应公告。由于缺少可追溯的一手材料,本页不会补写其功能细节,也不会用“内部人士”“据悉”替代证据。

确认产品所需信号 Conway 当前状态 编辑处理
官方发布公告 未找到 不写发布日期与产品定位
官方文档/API 未找到 不写 Webhook、插件格式或权限
系统卡或模型目录 未找到 不把它称为模型
可验证公开入口 未找到 不提供所谓访问方法
第三方截图或爆料 最多构成线索 标记未证实,等待官方材料

“没有找到官方确认”不等于证明项目从未存在;它只意味着公开文章不能把未证实线索写成事实。如果未来出现 Anthropic 官方页面,本页会记录原始发布日期、产品边界和本次更新内容,而不是简单修改日期制造新鲜度。了解目前可验证的 Claude 产品与模型,请阅读Claude Opus 4.8 使用与迁移指南Opus 4.7 发布回顾

Opus 4.6 风险报告真正采用了什么论证?

Opus 4.6 发布页应和系统卡、风险报告一起阅读。供应商发布页说明能力和产品入口;系统卡汇总更广泛的能力与安全评测;风险报告则围绕“模型自主行动是否会显著促成后续灾难性结果”建立特定论证。三者不能互相替代。

论证层 需要回答的问题 读者应保留的限制
动机与失调 模型是否会形成或执行有害目标 观察到的行为受提示、环境和工具影响
破坏能力 模型能否隐蔽改变代码、流程或研究结果 评测覆盖有限,现实系统可能不同
可访问机会 模型是否能接触高影响资产 权限是部署选择,不是模型固有属性
检测与防护 监控、评审和安全措施能否发现或阻断 控制需要在真实环境持续验证
总体风险 能力、倾向、机会和防护组合后的风险 “低但非零”不是“零”,也不是“即将失控”

这类材料属于供应商自评与治理披露,具有直接性,但不等于独立监管认证。阅读时要保留报告版本、覆盖日期、删节说明、威胁模型和外部审阅范围。站内AI 平台统一任务评测方法说明了如何把供应商结论转成自己的固定任务集和失败判定。

企业部署智能体,怎样把抽象风险变成控制项?

高权限智能体的风险不应靠“相信模型会听话”解决。Claude Platform 的Permission policies区分自动允许与执行前询问;自托管沙箱安全模型明确把镜像加固、网络出口、密钥、非可信任务隔离、工具影响半径和日志留存列为部署者责任。

控制面 最低要求 验收证据
身份与凭据 任务专用身份、短期密钥、禁止共享管理员凭据 密钥轮换记录与访问日志
工具权限 读取、草拟、写入、外发和删除分级授权 逐工具策略与拒绝样例
网络 默认拒绝出站,仅开放必要域名 防火墙规则与异常流量告警
运行环境 非 root、只读根目录、最小挂载、任务隔离 镜像配置与逃逸测试
高影响动作 付款、发布、生产写入、权限变更必须人工确认 审批日志和双人复核
资源边界 时间、token、费用、重试与并发上限 超限停止和异常演练
审计与恢复 保存输入、工具调用、结果、版本与回滚点 可重放记录和恢复演练

建立控制前,应先用提示工程与版本管理指南冻结提示、模型、工具和判定标准,再根据模型微调与评测边界判断问题来自提示、检索、权限、工具还是模型本身。模型升级不能替代系统治理。

普通读者看到“AI 逃逸”新闻时,怎样快速核验?

核验问题 合格信息应包含 危险信号
原文在哪里? 发布主体、标题、日期、稳定链接 只引用“外媒”“内部人士”
是真实事件还是评测? 明确环境、人物、资产是否真实 把 simulated、hypothetical 省略
“逃逸”具体指什么? 动作、权限边界、受影响系统 只用一个刺激词覆盖所有风险
报告结论是什么? 原结论、限制、反证与覆盖日期 只摘“非零风险”省略“很低”
是否有事故证据? 日志、时间线、影响、处置和责任方 用评测截图代替事故记录
产品是否被官方确认? 公告、文档、API 或可验证入口 第三方界面截图直接写成上线

Anthropic 的Transparency Hub和 RSP 页面适合查治理材料;模型能力与安全评测优先查 System Cards;开发与权限行为查 Claude Platform 文档。搜索结果摘要可能截断限定条件,重要判断应打开原文。

如果企业真的遇到异常智能体行为,应怎样记录和分级?

“模型给出了令人不安的回答”与“生产系统发生安全事件”之间还有很长的证据链。内部报告首先要保存原始输入、系统提示、模型完整 ID、采样参数、上下文、工具清单、工具参数、返回值、执行身份、网络访问、时间线和人工操作。只保存最终聊天截图,会丢失判断模型意图、系统权限与实际影响所需的大部分信息。涉及敏感数据时,证据副本应按事件响应流程加密、限制访问并记录保管链。

其次要把“意图”与“结果”分开。模型可能提出有害计划,但工具层拒绝了调用;也可能输出看似正常,却通过过宽权限造成错误写入。前者主要是行为与策略问题,后者还涉及应用、身份、网络和审批设计。不要仅根据模型的自述判断它是否“知道自己在做什么”,也不要把一段解释文字当作可靠取证材料;可复核对象应是可观察输入、动作、状态变化和日志。

事件级别 示例条件 建议动作
观察项 异常输出,未调用工具,未接触敏感资产 保存样本、加入回归评测、检查提示与上下文
受阻尝试 请求越权工具或危险参数,但被策略、沙箱或审批阻止 冻结日志、复测路径、确认控制没有旁路
低影响事件 在可恢复环境产生未授权状态变化 停止会话、回滚、轮换相关凭据、分析影响范围
高影响事件 外发数据、生产破坏、资金或权限变化、持续未经授权运行 启动正式事件响应,隔离系统并通知责任人与合规团队
重大安全事件 跨边界扩散、关键资产受损或可能影响外部主体 保全证据、外部专家与法律评估,并按适用规则报告

最后要做相邻条件测试,而不是只重复同一个戏剧化提示。移除目标冲突、减少权限、改变工具返回、加入明确停止条件、切换模型版本,并记录异常率是否变化。若问题只在刻意构造的极端情境出现,应标记为压力测试发现;若在正常业务输入、最小权限和多次复测下仍然出现,则需要提高优先级。站内的AI 幻觉核验与证据框架可用于拆分主张与证据,但安全事件还必须增加权限、日志、影响和恢复四类记录。

本页不给任何模型颁发“绝对安全”证明。供应商评测、第三方研究和企业自身红队测试覆盖的环境不同,结论只能在各自边界内使用。真正稳健的部署目标不是保证模型永远不犯错,而是让错误难以越过权限边界、能够被及时发现、影响受到限制,并且系统可以停止和恢复。上线验收还应覆盖正常任务、对抗输入、长任务、工具失败、网络中断、权限拒绝和人工接管;每次模型、提示、工具或权限变化后,都要重新执行关键用例,不能沿用旧版本的安全结论。风险接受人、复核周期和停止条件也应写入上线记录,由明确责任人签署确认。

常见问题

Claude Opus 4.6 是否完全没有自主性风险?

不是。公开风险报告使用“很低但非零”,受控研究也说明高权限代理在极端目标冲突下可能出现有害行为。正确做法是限制权限、隔离环境、记录工具调用并对高影响动作保留人工审批,而不是在“绝对安全”和“已经逃逸”之间二选一。

ASL-3 或 ASL-4 是产品危险评级吗?

不是面向消费者的简单星级,也不能用单次评测直接换算。它属于 Anthropic 的风险治理框架,关联能力阈值、所需防护与组织承诺。阅读时必须注明 RSP 版本。

为什么不直接删除这篇旧新闻?

原 URL 已经公开并可能被搜索引擎或其他页面引用。保留 URL 做明确纠错,可以让旧标题的访问者看到证据更新,也避免错误内容通过缓存继续传播。若页面没有可挽救的搜索意图、没有外部引用且无法建立独立价值,才更适合撤出索引或删除。

Conway 以后被官方确认怎么办?

届时只根据官方公告、文档和可验证入口补充,并记录首次公开日期、功能边界、权限模型和本次更新内容。在此之前,本页维持“未证实”,不把第三方爆料包装成事实。

编辑复核与纠错记录

本文由兰塞 AI 编辑流程于 2026 年 7 月 16 日复核。旧稿把公开且有删节的风险报告写成“绝密泄露”,误译 ASL,混淆受控智能体失调评测与真实逃逸事故,并把 Conway 第三方传闻、人员离职、递归自我提升时间预测和多项无来源数字写成确定事实。A 级候选稿撤回上述主张,改用“来源身份—场景—威胁类型—报告结论—工程处置”的核验框架。本站的来源、更新与纠错原则见关于本站与编辑规范