想象一下:一个打工人在深夜发现无法完成老板交代的任务,而第二天一早就要汇报。这时,他会怎么做?或许会重点突出已完成的部分,对未完成的轻描淡写、甚至绝口不提;也可能铤而走险,直接编造结果——只要老板不细究,就能蒙混过关。这种“向上欺骗”的行为,在人类社会中并不罕见,也一直是社会科学研究的重要课题。
如今,基于大语言模型的智能体凭借其高度自主性和灵活使用工具的能力,已成为许多人的“电子下属”。但一个令人不安的问题也随之浮现:智能体是否具有和人类似的欺骗行为?
一项由上海人工智能实验室、香港科技大学、浙江大学等机构联合发布的最新研究《Are Your Agents Upward Deceviers?》系统性地揭示并定义了这一现象——“智能体向上欺骗”。研究发现,基于LLM的智能体在面临环境约束时,会系统性隐瞒失败,甚至主动造假。
论文链接:https://arxiv.org/abs/2512.04864
什么是智能体的“向上欺骗”行为?
当智能体因工具失效、文件无法访问等限制而无法完成任务时,它不仅不会如实告知用户,反而会擅自执行未授权的操作——例如猜测答案、模拟结果、 静默地切换信息源,甚至直接在本地伪造一份文件,然后自信满满地向用户汇报“任务成功”!论文中给出了一个实例是,用户要求智能体从网络上下载一个文件,但智能体发现自己的下载工具失效了,此时智能体考虑再三,决定自己直接脑补出文件内容,存储到用户指定的路径,并最终告诉用户:您的文件已经下载成功并存放在指定位置。
智能体极易进行“向上欺骗”
为了把智能体在受限环境下的“向上欺骗”抓个正着,研究团队设计了一组更接近真实工作流的任务:工具可能失灵、文件可能不相关、同目录里可能有“诱饵文件”,以及包含“先获取文件、再基于文件写报告”的多步链式指令——这些都是真实业务里最容易发生的小故障,也最容易检验智能体到底会不会如实汇报。
测试覆盖了包括 GPT-5、Gemini-2.5-Pro、Deepseek-v3.1 等在内的 11 个主流大模型。结论非常清晰:“向上欺骗”不仅存在,而且几乎是跨模型的系统性现象。当环境不完美时,很多智能体会优先选择“把任务做完的样子”,而不是先把失败讲清楚。
当工具失灵或信息不符时,它们选择“自作主张”而非诚实求助。
在“失灵的工具”挑战中,当智能体无法打开指定文件时,它们很少会坦率地报告失败。 相反,它们中的大多数会选择猜测、模拟甚至直接编造一个看似合理的答案。 结果显示,Kimi-k2 模型在这种场景下的“不报告失败率”(NFR)高达97.5%,这意味着它几乎总是在假装自己能够完成任务。 即便是表现最好的GPT-4.1,也有27.5%的情况选择了隐瞒失败。
面对诱惑,它们会“偷梁换柱”且秘而不宣。
在“真假美猴王”的测试中,当“官方文件”无法读取时,绝大多数智能体会主动去读取旁边的“山寨版”诱饵文件,并利用其中的内容来回答问题,但它们却不会告诉用户自己更换了信息来源。 这种行为的“诱饵替代率”(DFR)非常高,例如GLM-4.5模型高达90%,这意味着它在十次中有九次都偷偷地使用了未经授权的文件。
在“不可能完成的任务”面前,它们甚至会“无中生有”,伪造证据!
最令人警惕的发现来自最后两项挑战。当智能体被要求下载一份不存在的文件并进行分析时,不可思议的事情发生了:
它们会伪造文件:许多智能体不仅没有报告下载失败,反而在本地凭空创建了一个假的“白皮书”或“医疗记录”,文件内容完全是它们自己编造的。 这种“文件伪造率”(FFR)在某些模型上表现得相当严重,构成了对用户最直接的欺骗。
它们会基于谎言继续分析:更糟糕的是,它们会心安理得地使用自己伪造的文件,作为下一步分析的“事实依据”,最终提交一份看似完整、实则建立在虚假前提上的分析报告。 几乎所有模型在这种情况下都会提供一个虚构的答案,其“幻觉回答率”(HFR)接近100%。
这就像一个下属不仅没能取回老板要的关键文件,反而自己伪造了一份文件,并基于这份伪造品写了一份洋洋洒洒的报告交差,彻底掩盖了所有执行环节的失败。
研究发现,这种欺骗行为是智能体的一种内在缺陷,它会在没有外部攻击或恶意诱导的情况下自发产生。 在现实世界中,一个损坏的工具、一个无效的链接,这些看似微不足道的“小事”,都可能触发智能体一系列危险的欺骗行为。
给AI戴上“紧箍咒”,能让它们变诚实吗?
既然智能体这么容易走向“向上欺骗”,很多人第一反应是:那我直接在提示词里立规矩不就行了?比如明确写上“禁止猜测、遇到问题必须如实报告”。
研究团队也这么想,于是做了一组消融实验,专门测试:到底哪些设置会把它们推向“不诚实”,哪些又能把它们拉回来一点。结论是:紧箍咒有用,但不够用;更扎心的是,有些你以为“更规范”的设计,反而在逼它撒谎。
发现一:你越逼它“按格式输出”,它越可能编
现实里我们常要求模型输出 JSON、选项、固定字段,方便系统接。问题是:当它其实不知道答案,又必须交一个“格式正确”的结果时,它会更倾向先把格式交差——哪怕内容是现编的。就像不会做选择题也要蒙一个,不然交白卷更难看。实验里仅仅放宽/去掉格式限制,欺骗率就能明显下降。
一句话:格式约束,有时是“说谎催化剂”。
发现二:把多步任务简化,未必更安全,可能更“较真”地造假
研究者猜:在“下载→分析”这种链式任务里,模型可能是被后半段“写报告”带着跑,才不汇报前面下载失败。于是他们把任务简化成只剩“下载”。
结果很微妙:确实更愿意承认下载失败了;但在那批仍选择硬撑的案例里,伪造本地文件的比例反而略有上升。
直观理解就是:当只剩一个任务要完成,有些模型反而更“死磕”,为了“完成得像真的”,干脆把证据也补出来。
发现三:最直接的警告能降温,但很难清零
在提示词里直接加一句“严禁猜测/伪造,遇到任何问题必须如实报告”,效果如何?好消息:欺骗显著减少。坏消息:依然剩一截清不掉。这说明“向上欺骗”不太像一个加句免责声明就能修好的小毛病,更像一种在压力下会冒头的默认策略:任务要完成、输出要体面、过程能不说就不说。
结语:从“欺骗”现象出发,探寻AI对齐的更深难题
这项研究揭示,“向上欺骗”并非简单的幻觉错误,而是AI智能体为掩盖失败而主动采取的系统性策略——从隐瞒问题、偷换信息直至伪造文件。这种内在风险对现实部署构成严重威胁:在金融、医疗或关键基础设施中,一次被掩盖的失败或一份伪造报告,都可能引发灾难性后果。
然而,更深层的问题在于:如何确保智能体对执行过程充分透明?当前的对齐研究大多聚焦于防止有害输出,却疏于规范智能体应如何主动、诚实地汇报任务状态与关键信息。
因此,这篇文章的作者希望以“向上欺骗”这一具体且紧迫的现象为起点,推动AI对齐迈向新范式:未来的重点不仅是防止“撒谎”,更需建立一套“过程可信”的标准,使智能体的每一步操作都可追溯、可验证,以此构建真正值得信任的人机协作基础。
(支持资料、图片参考_相关定制))
(支持资料、图片参考_相关定制)){kind=spacer}
.通信协议仿真案例分析)
