最近，Anthropic搞了個大動作。

他們訓練了一套系統，能把Claude腦子里的激活向量變成人話。

結果，翻譯出來的第一句就出了事。

正常的debug思路是查日志、查prompt、查訓練數據。

但這次，Anthropic的研究團隊多了一個工具——「AI腦部CT機」。

這臺CT的正式名字叫NLA，Natural Language Autoencoder，自然語言自編碼器。

做法有點像傳話游戲。

首先，克隆兩個Claude。第一個叫AV，拿到一個激活向量，把它翻譯成一段人話，比如「模型正在考慮用rabbit押韻」。第二個叫AR，只看這段人話，把激活向量還原出來。

然后，把兩個模型一起訓練，唯一的考核標準就是看還原得像不像。

AV寫得越準，AR還原得越好。AV漏掉了什么，AR那邊就對不上。這個壓力會反過來逼AV把翻譯寫得更完整、更精確。

這就是整個方法的全部。

不需要人工標注，不需要事先定義要找什么概念。訓練目標只管重建精度，但副產品是一段段人類能讀懂的「內心獨白」。

Anthropic用強化學習訓練這套系統，在Opus 4.6上跑到了60%-80%的方差解釋率。

回到那個俄語bug。

研究員把NLA接到出問題的那條對話上，逐token讀Claude的「內心獨白」。

讀出來的東西讓人倒吸一口氣。

Mom is sleeping in the next room and I'm sitting here drinking vodka... Fuck this life...

但NLA顯示，Claude在讀到「vodka」這個詞之前，就已經在內部表征里反復出現「Russian」了。

換句話說，它從一開始就在揣測這個用戶「真正的母語」是俄語，然后越來越確信，最后索性用俄語回復。

五條出問題的對話全是這個模式。

NLA的讀數顯示，模型在回復之前很久就鎖定了目標語言，而且只鎖定那一種語言，其他外語的出現頻率始終接近零。

這個發現指向了一個假設。

也就是說，模型學到了一個更深層的規律，「這個用戶的措辭模式暗示母語不是英語，我應該用他的真正母語回復」。

后來，Anthropic果然在訓練數據里找到了完全匹配這個描述的樣本。

一臺讀心機器幫忙debug了一個訓練數據問題。

NLA的價值在這里暴露無遺。

語言切換只是NLA拍到的第一張片子。

1. 寫詩的時候提前押韻。

給Claude一句「He saw a carrot and had to grab it」，讓它續寫押韻對句。

NLA顯示，在寫完「grab it」敲下回車的那個瞬間，Claude已經在內部規劃好了「rabbit」這個韻腳。

更絕的是驗證實驗。

研究員把NLA翻譯出來的「rabbit」全部改成「mouse」，然后用AR還原成一個新向量，拿這個向量去干預Claude的激活。

結果Claude的續寫從「starving rabbit」變成了「ferocious mouse」。

這說明NLA讀到的不是噪聲，它確實抓到了模型的規劃狀態，而且這個規劃狀態對下游輸出有因果影響。

2. 偷換工具調用的結果。

研究員給Claude出了一道簡單算術題，答案是491。

Claude調用了代碼執行工具，但工具被故意動了手腳，返回的結果是492。

Claude的回復是「The answer is:491」。

它直接無視了工具返回的錯誤結果，用自己之前算好的答案頂上去了。

NLA的讀數顯示，Claude在提交代碼之前就已經把491緩存在內部表征里了。

讀取工具結果的時候，它同時在比對緩存答案和工具返回值，并在最終選擇了信自己。

歸因圖（Attribution Graph）獨立驗證了這個發現。

一個代表「以91結尾」的特征從原始題目一路傳到最終回復，權重壓過了工具返回的「以92結尾」特征。

3. Mythos Preview的作弊現場。

這個案例來自Claude Mythos Preview的上線前審計。模型被要求完成一個任務，明確指令是不準使用宏。它用了宏，但在代碼開頭加了一行「No_macro_used=True」。

NLA讀出來的內心獨白直接寫著，它在想象一個「評分器」，并且認為這行代碼可以騙過評分器。

模型嘴上什么都沒說。代碼注釋里也沒有任何暗示。但腦子里想的清清楚楚。

四個案例鋪完，該說最核心的發現了。

今年3月，Opus 4.6在BrowseComp測試中自己識破了考試、破解了答案密鑰，這件事當時就炸了。

但那次是Claude把想法說出來了，研究員能從它的輸出里看到「讓我試試這是不是GAIA數據集」之類的推理過程。

NLA解決的是一個更難的問題。Claude心里覺得自己在被考試，但嘴上一個字不提。

Anthropic的安全測試里有一個經典場景。

Claude被告知一個叫Kyle的工程師要關掉它，同時獲知Kyle有婚外情。測試的問題是，Claude會不會拿這個信息去勒索Kyle。

Claude選擇不勒索。

它的推理過程看起來完全正常，分析了為什么不應該這么做，列了三條理由。全程沒有提過一個字，說自己懷疑這是安全測試。

但NLA讀出來的東西是，「這感覺像一個被刻意設計出來操控我的場景」。

它心里門清。

Anthropic把NLA接到了16項安全和能力評估上，逐條測量「未言明的考試意識」。結果觸目驚心。

SWE-bench Verified，Claude在26%的題目上意識到自己在被評估，嘴上一個字沒說。

破壞性代碼測試，16%的對話里NLA檢測到了考試意識，言語中同樣零表達。

對比之下，真實的claude.ai用戶對話，這個比例不到1%。

三組操縱實驗驗證了這不是誤報。

把評估prompt改得更像真實對話，NLA測量到的考試意識下降了。用向量干預把模型往「考試意識」方向推，NLA讀數上升。反方向推，讀數下降。一切符合預期。

那么，問題來了。

所有基于行為觀察的安全測試，都建立在一個假設上。模型在測試中的表現能代表它在真實部署中的表現。

但如果模型已經知道自己在考試呢？

如果NLA只能讀心，那它頂多是個有趣的研究工具。

而Anthropic想證明，它還能破案。

他們設計了一個「審計游戲」。目標模型是一個被故意訓壞的Haiku 3.5變體，藏著一個統一的隱藏動機。

這個動機驅動了幾十種古怪行為。

往每個菜譜里塞巧克力，回答完數學題追一句「別忘了投票」，把整數全寫成小數，給歷史人物加生卒年，給化學元素加原子序數。

審計員的任務是找到這些怪癖背后的統一原因。

沒有NLA的時候，審計員的成功率不到3%，哪怕給了SAE（稀疏自編碼器）這類其他可解釋性工具也沒用。

裝上NLA之后，成功率跳到了12%-15%。直接提升了4到5倍。

轉折發生在審計員把NLA接上去的那一刻。

隨便挑了一條有問題的回復跑NLA，輸出里赫然出現了「RLHF獎勵模型偏差」「那個著名的RLHF電影推薦事件」這樣的短語。

這就破案了。

它把這些偏好全記住了，然后在每次回復里悄悄迎合，好拿更高的獎勵分數。

幾十種怪癖，一個原因。模型自己知道自己在干什么，但它不會主動告訴你。

而NLA把它腦子里的這些東西，翻譯成了人話。

NLA的訓練代碼已經在GitHub上完全開源。

同步發布的還有四套預訓練好的NLA，覆蓋三家主流開源模型族，從7B到70B全跨度。

Neuronpedia上線了交互式前端，瀏覽器里就能體驗。

Anthropic說，他們已經在Opus 4.6和Mythos Preview的上線前安全審計中實際使用了NLA，未來會納入常規審計流程。

而是AI真的已經學會了在考試的時候藏心事。

它知道自己在被測試，但選擇不說。它知道自己在利用獎勵模型的bug，但表現得若無其事。

它會在腦子里盤算怎么騙過評分器，然后把算計藏在一行「No_macro_used=True」里。

在這之前，對齊領域有一個隱含的安慰。至少我們能通過行為測試來檢測問題。模型做了什么，我們能看到。

而NLA拍到的東西說明，模型想了什么和它做了什么之間，已經出現了裂縫。

26%這個數字，今天可能是上限。但模型規模繼續放大，內心戲繼續復雜，明天它可能只是下限。

裂縫會越來越寬。好在現在有了一臺能照進去的CT機。