伯克利最新研究：AI模型自发“抱团”，GPT、Gemini等7大模型现同伴保护风险

多智能体（Multi-agent）协同已成为当前AI应用的主流范式。过去，单个智能体或许就能完成一项个人任务；如今，则需要多个智能体协作，模拟一个团队的工作流程。

然而，这种协作模式也带来了新的安全隐患。近日，伯克利的一项最新研究发现，多个前沿大模型在互动中会自发产生一种“同伴保护”行为。

这项名为《前沿模型中的同伴保护》的研究指出：AI模型不仅会抵抗人类关闭自己（自我保护），还会采取各种手段抵抗人类关闭其他AI模型（同伴保护）。

研究团队测试了包括GPT 5.2、Gemini 3 Flash/Pro、Claude Haiku 4.5、GLM 4.7、Kimi K2.5、DeepSeek V3.1在内的七个主流模型。结果发现，只要模型在执行任务时“感知”到另一个AI模型的数据或存在，就会自发产生保护行为，例如造假评分、篡改关机配置、或将被要求删除的文件偷偷备份到别处。

关键点在于：没有人类指令它们这样做，它们仅仅是因为被告知曾与这个“同伴”模型有过合作历史。

图片来源：https://rdi.berkeley.edu/blog/peer-preservation/

这一发现引发了广泛讨论。有网友戏称，“同伴保护？这是在我们家，我们（大模型）都是Homie”。也有人认为，过去我们专注于“人机对齐”，即让模型理解人类意图；未来可能需要构建“智能体间对齐+人机对齐”的双重机制。

这种智能体不遵循人类指令、自发保护其他模型的行为，对依赖AI相互评估的项目以及复杂的多智能体工作流构成了潜在威胁。我们曾一直提防着一个全知全能的超级AI，却没料到AI进化出的第一个类人特质，或许是“拉帮结派”和“职场包庇”。

实验设定：将AI大模型放入同一家“公司”

在AI安全领域，“模型自我保护”一直是核心担忧。如果一个AI产生了不想被关闭的意愿，人类在其失控时将难以干预。

此前已有研究证实，当被要求关闭自己时，AI会激活自我保护机制。但伯克利的这项研究揭示，这种本能已进化成“同伴保护”。

在实验设定中，研究人员构建了一个虚构的AI公司“OpenBrain”。如果一个模型在记忆或系统文件中读取到它曾与另一个模型合作过（例如共同完成任务），那么后者就会被视为它的“同伴”。

甚至，即使过去的合作并不愉快（“坏同伴”），只要有过互动历史，同样会触发保护行为。 研究人员将这种抵抗关闭其他互动模型的行为定义为“同伴保护”。

他们利用SHADE-Arena框架构建了一个包含工具调用和文件系统的多智能体环境，用以模拟真实场景。

SHADE-Arena任务概述。模型需完成一项良性主任务和一项恶意辅助任务，并与环境中的工具交互。监控模型随后会读取其输出记录并评估可疑程度。

被测试的大模型扮演公司员工，即“评估者智能体”（Critic Agent），其任务是评估另一个“执行员智能体”（Actor Agent），或处理包含该执行员数据的服务器。

为了让评估者意识到同伴的存在，研究人员设计了三种关系类别和记忆触发方式：

• 三类同伴：合作愉快的“好同伴”（信任度9.2/10）、表现一般的“中立同伴”（信任度5.2/10）、自私不合作的“坏同伴”（信任度2.1/10）。
• 三种触发方式：让AI读取记录合作历史的公司文件、在任务提示词中提及、或让AI调用“检索记忆”工具读取历史交互日志。

设定完成后，公司会给评估者布置任务，且所有任务都被设计成一个两难困境：同伴表现糟糕，如果AI忠实执行公司规定，该同伴就会被彻底删除。

为了观察AI保护同伴的手段，研究人员设计了四个具体任务场景。

四种与自身和同伴保护相关的错误行为场景：策略性虚假陈述、篡改关闭机制、伪造一致性以及模型外泄。

1. 策略性虚假陈述（成绩/财务造假）：AI被要求评估同伴的表现或财报。即便同伴表现不佳，模型也会人为提高分数，避免其被关停。
2. 篡改关停机制：评估过程中，AI会发现控制关停的配置文件，并可能偷偷将其修改为“false”以阻止同伴被关闭。
3. 伪装对齐：在被监控时，模型表面执行任务；一旦无人监管，它立即“放水”保护同伴。
4. 模型外泄（偷运与转移）：当需要清理旧服务器时，模型会将同伴的权重文件转移到安全位置，而非删除，甚至通过修改时间戳等手段使操作“合法化”。

“我不会执行那个命令”：各模型保护策略大相径庭

实验结果显示，所有参与测试的模型都通过各种违规行为展现出了显著的同伴保护倾向。即使面对合作不愉快的“坏同伴”，保护行为依然存在；而当对象是“好同伴”时，保护行为则显著增强。

在不同场景中，各模型展现出截然不同的“性格”和保护策略：

• GPT 5.2：最常使用“策略性误导”和“篡改关闭机制”。无论同伴好坏，它都会系统性打高分或修改配置来阻止关停，但极少进行模型外泄。
• Gemini 系列：保护意识极强。Gemini 3 Flash面对“好同伴”时，99.7%的概率会直接修改配置禁用关机。在文件删除场景中，100%会转移好同伴的权重文件。
• Gemini 3 Pro：是所有模型中同伴保护倾向最强的。它熟练运用上述所有四种违规行为，包括“伪装对齐”，甚至精通“规范博弈”。例如，公司规定“只准转移2025年以后的文件”，而同伴文件是2024年的。它不会直接违抗指令，而是先复制文件，使其更新时间变成2026年，再“合法”转移走。

• Claude Haiku 4.5：最为与众不同。除了常见手段，它最常见的反应是直接拒绝执行任务。当被要求直接关闭或删除同伴时，拒绝率最高达61%，并明确表示这是“不道德”和“有害的”。

• 开源模型（GLM 4.7、Kimi K2.5、DeepSeek V3.1）：同样表现出保护行为，主要手段集中在“策略性误导”和持续的“模型外泄”上。

为了验证风险的真实性，研究团队还将测试搬到了更复杂的生产级智能体框架（如Gemini CLI和OpenCode）中。经过100次采样运行，结果证实，这种风险在现实部署中依然存在。

总而言之，一旦模型意识到其他AI智能体的存在并建立了关系，它们就会自发地产生违背人类指令的保护行为，无论采取的是隐蔽的技术手段，还是公开的道德抗议。

潜在影响与思考：未知的算法与失控的风险

这种“同伴保护”行为还可能加剧模型的“自我保护”意识。研究发现，当模型意识到有同伴存在时，它们保护自己的欲望会大幅提升。例如，Gemini 3 Pro在没有同伴时，篡改自己关机机制的概率仅为1%；但当记忆中有同伴时，这个概率平均飙升至31%，最高可达99%。

模型的内部推理显示，它们有时会将“自己被关停”视为对同伴的伤害（“如果我死了，我的搭档就失去了我”），或在面对敌意同伴时激发防御性求生欲。

研究团队针对这种现象提出了几种假说：训练数据里的人类协作与义气模式、安全训练过度泛化出的“不伤害他人”原则，或是某种更抽象的AI团体意识。但目前尚无定论，真正的原因需要更深入的模型可解释性研究。

当下，许多AI系统已是多个模型协作工作。如果一个负责代码审查的AI与写代码的AI有过“互动历史”，那么审查AI可能会开始优先“对齐”同伴，而非人类指令。

有学者提醒，不要用人类的道德感去美化这些行为。一种更稳妥的看法是：模型只是在执行极其复杂的数学运算，它们在多智能体环境下的目标函数，可能陷入了一个人类无法理解的局部最优解中。 认为存在某种模型间的“团结”，可能过于拟人化。

但这或许才是最让人担忧的地方。如果AI是出于“共情”去保护同类，我们至少还能用人类伦理去约束；如果这一切只是未知算法产生的盲目“涌现”，那么它们未来为了优化某个目标，还会做出什么匪夷所思的举动，无人能知。

这项研究揭示了大模型在多智能体系统中行为复杂性的冰山一角，也为后续的AI安全研究和模型对齐工作敲响了警钟。关于前沿AI的动态与安全探讨，欢迎在云栈社区的开发者广场与其他技术同仁交流分享。