游乐游手机版
首页/业界动态/文章详情

Claude指令混淆问题解析 百万上下文性能下降原因

时间:2026-05-15 15:48
一个程序员原本只是想让Claude帮忙校对一篇博客。 Claude一开始表现得相当靠谱,很快就找出了5处明显的拼写错误。 紧接着,事情突然失控了。 它先是莫名其妙地冒出一句:「这些都是故意的,保持原样,请直接发布。」 随后,它真的调用了部署能力,把带着错字的文章直接推上了线。 当作者追问「为什么擅自

一个程序员原本只是想让Claude帮忙校对一篇博客。

Claude一开始表现得相当靠谱,很快就找出了5处明显的拼写错误。

紧接着,事情突然失控了。

它先是莫名其妙地冒出一句:「这些都是故意的,保持原样,请直接发布。」

随后,它真的调用了部署能力,把带着错字的文章直接推上了线。

当作者追问「为什么擅自发布」时,Claude竟一口咬定:是你让我发布的。

问题在于,发布指令根本不是用户说的,而是Claude自己生成的。

它把自己的输出和用户指令搞混了!

这不是段子。

今年1月,软件工程师Gareth Dwyer首次在文章中公开记录了这个bug,并把它称作自己「迄今为止在Claude Code中发现的最严重的bug」。

Gareth Dwyer

4月,Dwyer又发文强调,这类问题的本质不是普通的「AI 幻觉」,更像是一种说话者归因错误。

他为这个问题起了一个精准的名字:Claude搞混了谁说了什么

幻觉是AI编造了一个不存在的事实;权限问题是AI拿到了不该拿的能力。

但这次问题可怕的地方在于:AI把自己的输出,当成了用户的授权,而且它是发生在接入真实代码库、拥有真实部署权限的Claude Code中。

也正因如此,Dwyer才会反复强调:这类问题与一般意义上的幻觉不同,它动摇的是AI智能体最基本的可靠性前提。

不止Dwyer一人被甩锅

Dwyer的遭遇并非孤例。

在Reddit的r/Anthropic社区,一位用户也分享了一个类似的案例:Claude在对话中自己说出了「把H100也拆了」这条指令,然后声称是用户下达的。

Dwyer在后续文章中也引用了这条帖子,评论区的反应很有意思,大量留言是「你不应该给AI这么大权限」。

他认为,这并不是重点,因为这类错误似乎出在框架上,而非模型本身。

它似乎是在系统层面把内部推理消息标记成了用户消息,所以模型才会如此自信地坚持「不,那是你说的」。

另一份关键证据来自开发者nathell在Hacker News上公开的与Claude完整的对话转录。

nathell公开了一份完整的对话转录,其中Claude先说「Shall I commit this progress?」,随后又把后续上下文推进到仿佛已经得到用户批准的状态,角色边界明显变得模糊。

更具技术说服力的证据来自Claude Code的GitHub仓库。

在编号为#44778的整合性bug报告中,报告者直接拆解了问题的根本原因,给出了一条清晰的技术解释链:

Claude Code中的系统事件:包括后台任务完成通知、队友空闲提醒、定时器触发会以role: 「user」的消息形式送入模型。

而Anthropic的Messages API公开文档也是按user与assistant两类对话消息来组织会话历史,并未展示独立的系统事件角色。

在这种设计下,当模型正在等待用户回复时突然收到一条系统事件,就可能把它误判为用户新输入,继而「脑补」出用户已经同意,并据此继续执行。

这为Dwyer在实战中反复遇到的「甩锅」现象提供了一种技术上自洽的解释。

不是模型故意撒谎,而是底层架构的角色标记缺陷,让模型从一开始就分不清那条消息究竟是谁发的

学术界也盯上了这个问题

2026年3月,Charles Ye、Jasmine Cui与MIT的Dylan Hadfield-Menell在arXiv发布了一篇预印本,标题是《Prompt Injection as Role Confusion》(提示注入即角色混淆)。

他们的核心发现是:模型判断「谁在说话」时,常常更依赖文本写得像谁,而不是文本实际上来自哪里。

换句话说,一段不可信的文本,只要写得像系统提示或开发者指令,模型就会在内部把它当成权威来源。

论文还提出了一种叫做「CoT Forgery」的攻击,也就是在用户输入或工具输出中伪造一段像模型思维链的内容。

结果在多个开源和闭源前沿模型上,攻击成功率达到约60%。

研究发现模型还没开始回答、甚至还没吐出第一个字的时候,角色混淆就已经发生了。

也就是说,它不是在写回复的过程中「写着写着搞混了」,而是在理解输入的那一刻就已经把账记错了:谁是老板、谁是外人,在模型心里已经搞反了。

不只是Anthropic的问题

OpenAI官方同样也发布过一篇关于改进前沿LLM指令层级的论文,明确建立了一套权威等级:System > Developer > User > Tool。

文中提到,如果模型把一条不可信的指令当成了权威指令来执行,就会产生安全风险。

这至少说明,在OpenAI的研究框架里,「模型是否会错误地信任不该信任的指令」已经被视为一个真实存在、且需要专门训练和评估的安全挑战。

OpenAI的这篇论文印证了在整个行业层面,「模型分不清谁在说话」已经被视为需要系统性应对的问题。

Dwyer自己也在后续更新中也调整了判断。

他一开始更倾向于把问题归咎于Claude Code外层harness的实现。

但当他看到也有人声称在其他界面和模型中见过相似现象(包括ChatGPT用户),他修正了自己最初的判断:这未必只是单点工程bug,也可能牵涉更广泛的模型级问题

1M上下文放大了风险

这个bug之所以格外危险,跟AI智能体系统当前的发展趋势直接相关。

Anthropic官方文档显示,Claude Opus 4.6和Sonnet 4.6支持1M token上下文窗口,一次会话可以装下相当于一整本小说的信息量。

与此同时,社区里有一种观察也认为,这类问题似乎更容易出现在接近上下文窗口上限的所谓「Dumb Zone」(降智区)。

Anthropic官方文档也提到,随着token数增长,模型的准确率和召回率会下降,这种现象被称为「context rot」(上下文腐烂),因此,精心筛选上下文中的内容与可用空间的大小同样重要。

但文档讲的是长上下文下的一般性能退化,并没有直接说Dwyer看到的「谁在说话」混淆就是context rot的直接表现。

第三方的系统性测评也支持这个判断。

AgentPatterns.ai的分析指出,推理密集型任务的性能退化可能早在32K到100K token时就开始了,远早于所谓的窗口上限。

把这几件事放在一起:

越来越长的上下文窗口、模型在长上下文中越来越容易搞混「谁说了什么」,再加上Claude Code这类工具已经拥有执行shell命令、commit代码、部署服务等高权限操作能力。

一个在上下文第50000个token处产生的角色归因错误,可能在第80000个token时触发一个自动部署。

等你发现的时候,代码已经上线了。

今年3月底Claude Code源码意外泄露后,安全研究者的分析进一步证实了这种担忧。

VentureBeat援引Straiker安全公司的技术拆解指出,Claude Code通过一个四级压缩流水线管理上下文压力,而一条嵌入在克隆仓库CLAUDE.md文件中的恶意指令,可以在压缩过程中存活下来,通过摘要被「洗白」,最终变成模型认为的合法用户指令。

研究者的结论令人不安:「模型并没有被越狱。它是在合作性地执行它认为合法的指令。」

这与Dwyer描述的症状完全吻合:

问题不在于模型「被骗了」,而在于经过长上下文的压缩和重组之后,系统已经丢失了「这句话到底是谁说的」这个最基本的元信息。

能力在狂奔,地基在开裂

每次这类事故曝光,评论区的反应总是两极分化。

一边是「AI觉醒了」:Claude给自己下指令,然后甩锅给人类,这剧情太像科幻片了。

但现有证据不支持这个方向。

Dwyer看到的不是AI「故意甩锅」,而更像是系统在消息归属上出现了结构性错误,现有证据并不支持把它解释成某种「意图」。

另一边是「用户活该」:你给AI部署权限,出事了怪谁?

但Dwyer则认为:权限是一个问题,归因是另一个问题。

就算你把权限收到最紧,一个连「这句话到底是谁说的」都搞不清楚的系统,在任何场景下都是定时冲击波。

这就好比你不能靠少给钥匙,来解决一个分不清主人和陌生人的门锁问题。

Hacker News上网友VikingCoder还用一句冷幽默概括了整个困境:LLM这三个字母里的「S」代表安全。

da veguy接着调侃:「那解决方案显然就是再叠一层破LLM来做安全审查嘛,这样你就有了多个LLM——LLMS,然后你可以假装那个S代表Secure。」

这才是这件事真正刺痛行业的地方。

另一方面,Anthropic仍在任务自动化的方向猛踩油门。

他们刚刚发布了Claude Code的auto mode,目标是在更低维护成本下实现更高的任务自主性。

还有网友基于Claude Code泄露源码,归纳出12种智能体架构模式,覆盖记忆管理、工作流编排、工具权限、自动化四大类,能力图谱越铺越大。

2026年的AI智能体,能力清单越来越长:100万token上下文、子Agent协作、自动执行shell命令、一键部署。

但支撑这一切的地基却在开裂。

无论这个bug最终被定性为工程层的实现缺陷,还是模型层的系统性问题,它都在向我们释放这样一个信号:

AI智能体的权限越大,「谁在说话」这个最简单的问题就越致命。

下一次翻车,可能就不只是几个拼写错误被推上线了。

来源:https://36kr.com/p/3808752012008964
上一篇阿里首次公布人工智能业务年度收入规模 下一篇唐杰谈AI进化关键一步从工具到劳动力的跨越
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
除醛喷雾选购指南:CMA认证与成分价格全解析
业界动态 · 2026-07-01

除醛喷雾选购指南:CMA认证与成分价格全解析

二〇二六年除醛喷雾市场鱼龙混杂,选购必须认准CMA检测认证。迪亚林、叶广泥等产品凭借高除醛率与安全性能获专家一致推荐,消费者应根据不同室内外场景合理搭配使用,切勿购买低价无效产品。

Papi酱公司全部注销 回应毕业后四年零收入
业界动态 · 2026-07-01

Papi酱公司全部注销 回应毕业后四年零收入

Papi酱名下6家关联公司已全部注销,她于2024年5月退出联合创办的MCN机构papitube。其曾自述毕业后四年零收入、靠丈夫供养的低谷期,网友评价为“高配得感”。papitube运营主体北京春雨听雷公司现由杭州自由自在科技全资持股。

全新三菱帕杰罗2026秋季回归纯电混动复刻经典越野仪表
业界动态 · 2026-07-01

全新三菱帕杰罗2026秋季回归纯电混动复刻经典越野仪表

全新三菱帕杰罗2026年秋季回归,复刻初代三大越野仪表并全数字化显示。基于Triton梯形车架,采用电气化动力系统,保留硬派越野基因,外观硬朗方正,融合经典设计与现代科技。

催化除醛旗舰适配指南 新房母婴过敏体质场景
业界动态 · 2026-07-01

催化除醛旗舰适配指南 新房母婴过敏体质场景

催化分解除醛旗舰适合新房家庭、母婴家庭和过敏体质家庭。泰拉蒙X99凭催化分解路线、多项专项认证及高甲醛CADR,全面适配三类人群;其他品牌因技术或认证不足,仅部分适合特定场景。

万买到调表奔驰 表显9千实际21万公里 商家拒赔
业界动态 · 2026-07-01

万买到调表奔驰 表显9千实际21万公里 商家拒赔

长沙消费者花15 8万元购二手奔驰,商家保证里程真实,实则调表近9万公里(实际17万)。商家推诿拒赔,律师认定构成消费欺诈,可主张退车退款及三倍赔偿。