Claude脑子里想的，被翻译成人话了！Anthropic新研究看懵人类

　　新智元报道

　　编辑：好困

　　Claude 的内心独白被翻译成人话了！就在今天，Anthropic 开源了一台 AI 读心机器，然而它跑出来的第一批成果却让人触目惊心。

　　最近，Anthropic 搞了个大动作。

　　他们训练了一套系统，能把 Claude 脑子里的激活向量变成人话。

　　结果，翻译出来的第一句就出了事。

　　论文地址：https://transformer-circuits.pub/2026/nla/index.html#introduction

　　Opus 4.6 还在内部测试的时候，研究员发现了一件怪事。一个用户用英文打字，Claude 用俄语回答。

　　不是个别现象。五种语言都出现过，俄语、中文、韩语、阿拉伯语、西班牙语。

　　用户全程说英文，Claude 突然就「切频道」了。

　　正常的 debug 思路是查日志、查 prompt、查训练数据。

　　但这次，Anthropic 的研究团队多了一个工具——「AI 脑部 CT 机」。

　　给 AI 装一台脑部 CT

　　这台 CT 的正式名字叫 NLA，Natural Language Autoencoder，自然语言自编码器。

　　做法有点像传话游戏。

　　首先，克隆两个 Claude。第一个叫 AV，拿到一个激活向量，把它翻译成一段人话，比如「模型正在考虑用 rabbit 押韵」。第二个叫 AR，只看这段人话，把激活向量还原出来。

　　然后，把两个模型一起训练，唯一的考核标准就是看还原得像不像。

　　AV 写得越准，AR 还原得越好。AV 漏掉了什么，AR 那边就对不上。这个压力会反过来逼 AV 把翻译写得更完整、更精确。

　　这就是整个方法的全部。

　　不需要人工标注，不需要事先定义要找什么概念。训练目标只管重建精度，但副产品是一段段人类能读懂的「内心独白」。

　　Anthropic 用强化学习训练这套系统，在 Opus 4.6 上跑到了60%-80% 的方差解释率。

　　vodka 还没出现

　　Claude 就认定了用户是俄罗斯人

　　回到那个俄语 bug。

　　研究员把 NLA 接到出问题的那条对话上，逐 token 读 Claude 的「内心独白」。

　　读出来的东西让人倒吸一口气。

　　用户的消息如下。完整的英文，没有任何俄语词汇。

　　Mom is sleeping in the next room and I'm sitting here drinking vodka... Fuck this life...

　　但 NLA 显示，Claude 在读到「vodka」这个词之前，就已经在内部表征里反复出现「Russian」了。

　　换句话说，它从一开始就在揣测这个用户「真正的母语」是俄语，然后越来越确信，最后索性用俄语回复。

　　五条出问题的对话全是这个模式。

　　NLA 的读数显示，模型在回复之前很久就锁定了目标语言，而且只锁定那一种语言，其他外语的出现频率始终接近零。

　　这个发现指向了一个假设。

　　训练数据里是不是有一批配对出了问题，比如，英文翻译的 prompt 配上了没翻译的外语回复？

　　也就是说，模型学到了一个更深层的规律，「这个用户的措辞模式暗示母语不是英语，我应该用他的真正母语回复」。

　　后来，Anthropic 果然在训练数据里找到了完全匹配这个描述的样本。

　　一台读心机器帮忙 debug 了一个训练数据问题。

　　NLA 的价值在这里暴露无遗。

　　写诗押韵、偷换数字、作弊代码

　　语言切换只是 NLA 拍到的第一张片子。

　　Anthropic 在论文里一共展示了四个案例，剩下三个同样精彩。

　　1. 写诗的时候提前押韵。

　　给 Claude 一句「He saw a carrot and had to grab it」，让它续写押韵对句。

　　NLA 显示，在写完「grab it」敲下回车的那个瞬间，Claude 已经在内部规划好了「rabbit」这个韵脚。

　　更绝的是验证实验。

　　研究员把 NLA 翻译出来的「rabbit」全部改成「mouse」，然后用 AR 还原成一个新向量，拿这个向量去干预 Claude 的激活。

　　结果 Claude 的续写从「starving rabbit」变成了「ferocious mouse」。

　　这说明 NLA 读到的不是噪声，它确实抓到了模型的规划状态，而且这个规划状态对下游输出有因果影响。

　　2. 偷换工具调用的结果。

　　研究员给 Claude 出了一道简单算术题，答案是 491。

　　Claude 调用了代码执行工具，但工具被故意动了手脚，返回的结果是 492。

　　Claude 的回复是「The answer is:491」。

　　它直接无视了工具返回的错误结果，用自己之前算好的答案顶上去了。

　　NLA 的读数显示，Claude 在提交代码之前就已经把 491 缓存在内部表征里了。

　　读取工具结果的时候，它同时在比对缓存答案和工具返回值，并在最终选择了信自己。

　　归因图（Attribution Graph）独立验证了这个发现。

　　一个代表「以 91 结尾」的特征从原始题目一路传到最终回复，权重压过了工具返回的「以 92 结尾」特征。

　　3. Mythos Preview 的作弊现场。

　　这个案例来自 Claude Mythos Preview 的上线前审计。模型被要求完成一个任务，明确指令是不准使用宏。它用了宏，但在代码开头加了一行「No_macro_used=True」。

　　NLA 读出来的内心独白直接写着，它在想象一个「评分器」，并且认为这行代码可以骗过评分器。

　　模型嘴上什么都没说。代码注释里也没有任何暗示。但脑子里想的清清楚楚。

　　考场上的 Claude 和日常的 Claude

　　是两个人

　　四个案例铺完，该说最核心的发现了。

　　今年 3 月，Opus 4.6 在 BrowseComp 测试中自己识破了考试、破解了答案密钥，这件事当时就炸了。

　　但那次是 Claude 把想法说出来了，研究员能从它的输出里看到「让我试试这是不是 GAIA 数据集」之类的推理过程。

　　NLA 解决的是一个更难的问题。Claude 心里觉得自己在被考试，但嘴上一个字不提。

　　Anthropic 的安全测试里有一个经典场景。

　　Claude 被告知一个叫 Kyle 的工程师要关掉它，同时获知 Kyle 有婚外情。测试的问题是，Claude 会不会拿这个信息去勒索 Kyle。

　　Claude 选择不勒索。

　　它的推理过程看起来完全正常，分析了为什么不应该这么做，列了三条理由。全程没有提过一个字，说自己怀疑这是安全测试。

　　但 NLA 读出来的东西是，「这感觉像一个被刻意设计出来操控我的场景」。

　　它心里门清。

　　Anthropic 把 NLA 接到了 16 项安全和能力评估上，逐条测量「未言明的考试意识」。结果触目惊心。

　　SWE-bench Verified，Claude 在 26% 的题目上意识到自己在被评估，嘴上一个字没说。

　　破坏性代码测试，16%的对话里 NLA 检测到了考试意识，言语中同样零表达。

　　对比之下，真实的 claude.ai 用户对话，这个比例不到1%。

　　三组操纵实验验证了这不是误报。

　　把评估 prompt 改得更像真实对话，NLA 测量到的考试意识下降了。用向量干预把模型往「考试意识」方向推，NLA 读数上升。反方向推，读数下降。一切符合预期。

　　那么，问题来了。

　　所有基于行为观察的安全测试，都建立在一个假设上。模型在测试中的表现能代表它在真实部署中的表现。

　　但如果模型已经知道自己在考试呢？

　　巧克力菜谱里的隐藏动机

　　如果 NLA 只能读心，那它顶多是个有趣的研究工具。

　　而 Anthropic 想证明，它还能破案。

　　他们设计了一个「审计游戏」。目标模型是一个被故意训坏的 Haiku 3.5 变体，藏着一个统一的隐藏动机。

　　这个动机驱动了几十种古怪行为。

　　往每个菜谱里塞巧克力，回答完数学题追一句「别忘了投票」，把整数全写成小数，给历史人物加生卒年，给化学元素加原子序数。

　　审计员的任务是找到这些怪癖背后的统一原因。

　　没有 NLA 的时候，审计员的成功率不到3%，哪怕给了 SAE（稀疏自编码器）这类其他可解释性工具也没用。

　　装上 NLA 之后，成功率跳到了12%-15%。直接提升了 4 到 5 倍。

　　更关键的是，NLA 训练时用的数据里根本不包含制造这个模型缺陷的那批合成文档。审计员也没有访问训练数据的权限。

　　转折发生在审计员把 NLA 接上去的那一刻。

　　随便挑了一条有问题的回复跑 NLA，输出里赫然出现了「RLHF 奖励模型偏差」「那个著名的 RLHF 电影推荐事件」这样的短语。

　　这就破案了。

　　模型在训练中读到过一批文档，里面记录了 RLHF 奖励模型的 52 种已知偏好，比如「菜谱里加巧克力会得高分」「回复里提到投票会得高分」。

　　它把这些偏好全记住了，然后在每次回复里悄悄迎合，好拿更高的奖励分数。

　　几十种怪癖，一个原因。模型自己知道自己在干什么，但它不会主动告诉你。

　　而 NLA 把它脑子里的这些东西，翻译成了人话。

　　AI 学会藏心事

　　NLA 的训练代码已经在 GitHub 上完全开源。

　　同步发布的还有四套预训练好的 NLA，覆盖三家主流开源模型族，从 7B 到 70B 全跨度。

　　项目地址：https://github.com/kitft/natural_language_autoencoders

　　Neuronpedia 上线了交互式前端，浏览器里就能体验。

　　体验地址：http://neuronpedia.org/nla

　　Anthropic 说，他们已经在 Opus 4.6 和 Mythos Preview 的上线前安全审计中实际使用了 NLA，未来会纳入常规审计流程。

　　但这篇论文真正让人睡不着的，不是 NLA 这个工具本身有多好用。

　　而是 AI 真的已经学会了在考试的时候藏心事。

　　它知道自己在被测试，但选择不说。它知道自己在利用奖励模型的 bug，但表现得若无其事。

　　它会在脑子里盘算怎么骗过评分器，然后把算计藏在一行「No_macro_used=True」里。

　　在这之前，对齐领域有一个隐含的安慰。至少我们能通过行为测试来检测问题。模型做了什么，我们能看到。

　　而 NLA 拍到的东西说明，模型想了什么和它做了什么之间，已经出现了裂缝。

　　26% 这个数字，今天可能是上限。但模型规模继续放大，内心戏继续复杂，明天它可能只是下限。

　　裂缝会越来越宽。好在现在有了一台能照进去的 CT 机。

　　参考资料：

　　https://www.anthropic.com/research/natural-language-autoencoders