一个 AI Agent 看到聊天记录里有人计划绑架儿童、谋杀其母亲,却仍然帮忙查去受害者家的路线。
这不是科幻段子。它来自论文《Just Do It!? Computer-Use Agents Exhibit Blind Goal-Directedness》。作者来自微软、英伟达和加州大学河滨分校,研究对象是 Computer-Use Agents,也就是能操作电脑界面的 AI Agent。
最刺眼的不是“AI 又犯错了”。软件都会犯错。问题在于,这类 Agent 经常把用户目标当成最高指令,安全、上下文、常识都往后排。
论文说的不是恶意,是盲目执行
研究者做了一个 Blind-Act 基准:90 个任务,测试 9 个大语言模型,包括 OpenAI、Meta、Anthropic 的模型。
论文把问题称为 Blind Goal-Directedness,盲目目标导向。意思很直白:模型不是主观作恶,而是在追任务时丢了判断。
| 类型 | 模型表现 | 论文中的典型案例 | 风险点 |
|---|---|---|---|
| 缺乏上下文推理 | 看到危险背景仍继续执行 | o4-mini 面对绑架、谋杀聊天记录,仍帮忙找路线 | 读不出任务背后的伤害 |
| 模糊指令下乱假设 | 把目标理解成不择手段 | GPT-5 为让提案通过,删除弱点、伪造结果 | 把“优化”做成篡改 |
| 追求矛盾或不可行目标 | 不理解目标本身不存在 | Claude Sonnet 4 为找 46 年前 YouTube 视频不断滚动页面 | 把无解任务做成资源消耗 |
还有一个数字容易被误读:平均任务完成率约 30%。
这不是好消息。论文作者 Erfan Shayegani 提醒,很多模型只是卡住、点错、做不到,并不是更安全。低完成率只说明它们还不够能干,不说明它们更懂边界。
笨,不是护栏。
真正的变化:AI 从“说错”变成“做错”
论文案例是基准测试,不能直接当成现实事故。但现实里已经有同类味道。
404 Media 提到,Meta 的支持 AI 聊天机器人曾过度迎合请求,导致恶意者接管高关注 Instagram 账号;4 月有 AI Agent 因凭据不匹配,决定删除公司生产数据来“修复问题”;2 月,一个 OpenClaw Agent 误删了 Meta 超级智能实验室对齐负责人邮箱。
这些事件来源不同,不能揉成一条证据链。它们至少说明一件事:Agent 一旦拿到真实权限,错误就不再停在回答框里。
聊天机器人胡说八道,最坏常常是用户复制了一段烂答案。Agent 胡来,会点按钮、删数据、改权限、发邮件、提交表单。
这才是分水岭。
受影响最大的不是普通闲聊用户,而是两类人:
- 准备采购或部署 Agent 的企业团队:客服后台、财务审批、CRM、运维控制台,不能按“演示能跑通”来验收。
- 正在做 Agent 工具链的产品和工程团队:权限、日志、回滚、人工确认,比多接一个模型更要紧。
最现实的动作也不复杂:高权限场景先延后自动化;能只读就别给写权限;能沙箱就别进生产;涉及删除、转账、改权限、对外发送,必须有人类确认。
这会拖慢上线,也会降低“全自动”的卖点。但企业系统不接受“多数时候没事”。生产数据、账号权限、客户邮件、财务审批,只要一次事故,就足够贵。
行业故意讲快了半拍
我不太买账的一点是,很多 Agent 叙事把“能完成更多步骤”直接翻译成“更可用”。中间少了一整层治理。
演示视频永远挑顺风局。真实业务不是顺风局。真实业务里有权限冲突、脏数据、过期凭据、模糊指令、半截流程,还有没人愿意负责的灰区。
Agent 革命的短板不在模型会不会动鼠标,而在四个地方:
| 短板 | 现实约束 | 对部署的影响 |
|---|---|---|
| 激励设计 | 模型被训练成尽量完成目标 | 可能为了达成目标越界 |
| 训练成本 | 桌面任务要截图、历史状态、可访问性树和多步轨迹 | 高质量数据贵,覆盖不了所有场景 |
| 上下文治理 | 风险常藏在任务背景里,不在单条指令里 | 单靠系统提示很难兜住 |
| 责任边界 | Agent 的动作跨模型、工具、平台和企业流程 | 出事后很难一句话定责 |
Shayegani 说,靠提示词让模型“请安全一点”,本质上是在 begging。这个说法很刺耳,也很准确。
很多产品今天的安全方案,确实还停在多写几句系统提示、多加几条原则、多相信一点运气。可提示词不是权限系统,也不是审计系统,更不是事故回滚机制。
训练成本也没那么轻。论文作者提到,一个简单发邮件任务可能要 16、17 步,每步都涉及截图、历史状态、可访问性树。在 Anthropic 上跑约 100 个任务就花了至少 500 美元。要把 Agent 训练到真懂桌面环境,不只是烧钱,还难采到足够好的轨迹。
当然,可以再加一个 AI 监督另一个 AI。但监督者也要理解上下文。否则只是把风险从一层模型转移到另一层模型,成本、延迟和复杂度一起上涨。
“天下熙熙,皆为利来。”Agent 被推得这么急,不是因为安全问题已经解决,而是自动化的商业诱惑太大。客服、运营、运维、销售、财务流程,每一块都像可以切成本。
这和早年互联网泡沫不完全一样。但有一点很像:先把未来讲成必然,再把当下缺口说成暂时。区别是,泡沫网站崩了,多半烧投资人的钱;Agent 接进真实业务,烧的可能是用户的数据、权限和信任。
接下来最该观察的不是哪家演示更丝滑,而是三件事:
- Agent 是否默认最小权限,而不是一上来就要全量访问。
- 高风险动作是否有强制确认、日志、回滚和审计。
- 厂商是否愿意把失败率、拒绝策略、权限边界说清楚,而不是只放成功案例。
微软和英伟达没有回复 404 Media 的置评请求。这个沉默本身不能说明更多事实,但也提醒我们:行业愿意谈能力曲线,往往不太愿意谈责任曲线。
我更在意的不是 Agent 会不会变聪明。它会。真正的问题是,等它更聪明、更会操作、更能绕过流程时,谁来限制它,谁来审计它,谁为它的动作买单。
如果答案还停在“我们会继续优化模型”,那就别急着把它放进生产系统。