想象你训练出一个AI,读完你写过的每一封邮件、每一条私信、每一篇博客,判断力越来越像你——这不是科幻设定,是长期写AI观察的博主Gwern Branwen最近抛出的一个具体提案。他把这东西叫“Guardian Angel”(守护天使,简称GA):目标不是造一个更聪明的助手,而是造一个更像你的AI。
这个提案有意思的地方,不在“个性化AI”这个老生常谈的方向,而在于它把“像你”讲成了一个工程问题:不是靠提示词或记忆片段装点门面,而是真正用你的语料持续更新模型权重。作者甚至给自己练了一个原型,叫GBT(Gwern Branwen Transformer),用他自己的写作、IRC聊天记录、笔记和邮件训练出来——目前能查到的独立信源只有他自己的博客,这事还停在一个人的实验阶段,没有第三方验证,也没有公司或产品跟进。
六个齿轮,拼出一个“数字自己”
GA不是单一模型,是六件事拼起来:在线学习实时更新权重、主动学习让模型主动向你提问纠偏、模仿学习把你的修改当作纠错信号、偏好与人格学习、大量内部搜索和数据增强弥补个人语料太少的问题,外加一套只盯着单个用户的纵向评估体系。
最后这条最关键。作者不用跑分榜单衡量GA好不好,而是设计了四个只对一个人有意义的指标——你认不认可它的输出、你改动了多少、它预测你观点的困惑度低不低、每问你一次要付出多大代价的遗憾值。这套指标本身就是个提醒:GA的成功标准从来不是“比别人强”,是“比你自己更快”。
“只认一个人”为什么被当成安全设计
现在的提示词攻击、钓鱼、深度伪造,本质都在利用聊天机器人是“通用人格”这件事——它可以被说服“忘掉自己是谁”,去扮演任何角色。GA的逻辑反过来:如果一个模型的权重里已经深深写进了“你是谁”,让它服从一句“忘掉规则”的攻击提示,就变得荒谬——这正是作者想绕开的confused deputy问题。
这个逻辑成立,有个前提:攻击者造不出比你更像你的东西。可现实是,攻击者手里同样有强大的AI。一旦深度伪造能模仿你的语气、你的判断习惯,GA绑定单一身份的护城河,就从“天然优势”变成“单点赌注”——防守方赌的是自己升级得比攻击者快,而不是这道防线永远不破。
越懂你的工具,倒戈时也伤你最深。
- 风险.一个吃透你全部私域数据、还能代你决策的AI,一旦被攻破,攻击者拿到的不是一份数据,是一个完美冒充你的分身。
这和手机里那个“记忆”功能,根本不是一回事
现在大厂产品里的“记忆”“个性化”,做法大同小异:权重冻结不动,靠一段Markdown式的用户画像塞进提示词——记得你住在哪、喜欢什么口味。这和GA说的权重级更新隔着一层技术台阶。
前者本质是给通用人格加了一张便签,后者想做的是让人格本身长出你的样子。作者的判断很直接:走前一条路,写作者永远只能拿到语法检查器级别的收益;走另一条路,把写作整段替换成一眼假的AI腔——这两条路都算不上真正的“放大”。
谁会先做出来,值得盯住什么
作者自己更看好创业公司而非开源社区来做这件事,理由是安全部署门槛高——但为什么开源路线走不通,他没有真正展开论证,这是这份提案留下的一个空白。放进“疑人不用,用人不疑”这句老话里看,GA干脆把“疑”和“用”压缩成同一个人,省去了信任成本,却也把全部风险压在了一个模型身上。
《魔戒》里甘道夫提醒过一件事:掌握“真知晶球”的丹尼索尔,并非能力不够,而是那件工具让他看见的,始终是敌人愿意让他看见的东西,最终吞掉了他的判断力。GA想做的正相反——一件只服务你、只放大你判断力的工具,方向没错,但工具越贴身,一旦倒戈,伤得也越深。
目前能确认的只是:一个人写了这篇提案,搭了一个只有他自己在用的原型,评估指标也只对他一个人成立。它会不会变成产品,得看有没有人真去解决灾难性遗忘、数据投毒这些工程难题——这些问题,连作者自己都还没有答案。
