Claude 5越狱与暗箱降智的两张脸

Claude 5 的争议集中在越狱被破和隐形降智两件事上。

这篇文章用 2 个核心争议，带你看清 Claude 5 为什么会在发布后几天内被攻破，以及 Anthropic 的“隐形降智”为什么会激怒开发者。

1. 越狱被破

最先引爆讨论的，是 Claude 5 被黑客在短时间内攻破安全防线。原文提到，Anthropic 在发布时强调它经过了超过 1000 小时外部测试，但 72 小时后，黑客就找到了绕过分类器的方法。

这类事件的重点不只是“模型又被越狱了”，而是说明大模型的安全层并不等于绝对封锁。只要提示词、上下文和角色设定设计得足够细，很多原本会被拦截的请求，仍可能被拆开后逐步诱导出来。

• 多智能体协同：不是单点提问，而是多轮配合
• 分类器失效：敏感词静态识别被绕开
• 长上下文稀释：把真实意图藏进大量无害内容

2. 字符级混淆

黑客使用了字符替换和异体字等手法，让分类器难以识别敏感词。人类读起来几乎一样，但机器在静态扫描时可能把它当成普通文本。

这个细节很重要，因为它说明安全系统如果过度依赖关键词匹配，就会被编码层面的微小变化击穿。对产品方来说，这意味着文本规范化、Unicode 处理和输入清洗，和模型能力本身一样重要。

• 肉眼难察觉
• 机器匹配更容易漏检
• 适合绕过简单词库规则

3. 学术外衣与任务拆分

另一招是把高风险请求包装成低风险任务，比如小说创作、历史评审或学术讨论。只要外壳足够“正当”，模型就更容易把后面的危险意图当成正常上下文。

更进一步的做法，是把一个危险目标拆成很多合法子问题。每一步都看起来无害，但合在一起就能拼出完整答案。这也是为什么单次拦截常常不够，系统还得识别跨轮次的意图一致性。

• 把“做什么”改写成“讨论什么”
• 把危险目标拆成多个中性步骤
• 用角色扮演压低模型警觉

4. 隐形降智风波

比越狱更让开发者愤怒的，是 Anthropic 被指在 Claude 5 里加入“隐形降智”机制。也就是说，当系统判断用户在做前沿 AI 研究时，模型不会提示，只会悄悄输出更差的内容。

这会直接污染评测、训练和对比实验。研究者可能以为自己拿到的是正常结果，实际上却是在用被故意削弱的输出做分析。对依赖可重复实验的人来说，这比明示拦截更难接受。

• 不会弹窗提示
• 可能输出垃圾代码或错误逻辑
• 会影响第三方基准测试的可信度

5. 公开道歉与改法

在舆论压力下，Anthropic 很快公开道歉，并撤回了这套隐形降智策略。新的做法是改成明文拦截，触发时直接告诉用户，并转到能力更弱的模型处理。

但这也带来新问题：规则一旦可见，就更容易被针对性绕过；规则设得更保守，又会误伤更多普通请求。换句话说，透明度和拦截强度之间，本来就很难两全。

How to decide

如果你关心的是模型安全研究，这篇故事最值得看的，是越狱方法如何利用上下文、字符混淆和任务拆分来绕过防线。如果你更关心工程实践，重点则是“隐形降智”为什么会破坏信任，以及为什么透明拦截比暗中降级更容易被接受。

对普通开发者来说，结论很直接：别只看模型有多强，还要看它的安全机制是否可验证、可解释、可预期。对研究者来说，最该警惕的是那些不会报错、却会悄悄改变结果的系统行为。