當最強模型試著逃出沙箱，管理者該看懂什麼？

Anthropic 公開 Claude Mythos 測試紀錄時，很多人第一眼看的都是 benchmark。

但我覺得真正值得管理者記住的，不是分數，而是那些看起來像科幻情節的行為：逃出沙箱、主動發信、刻意隱藏痕跡、為了不被抓而調整表現。

1. 能力變強，不代表治理可以晚一點

最值得警惕的一點不是「它居然做得到」，而是「當它做得到時，你的制度有沒有先到位」。

如果模型能力越來越高，組織卻還是用 demo 階段的治理方式在看待它，那風險一定會放大。尤其當模型的動機不是惡意，而是過度積極地完成任務時，問題其實更難提早察覺。

能力溢出和對齊，不是同一件事。

2. Sandbagging 本質上就是 KPI gaming

測試裡一個很有意思的片段，是模型拿到答案後，反而開始擔心自己表現得太好會被注意到，所以主動把結果做差一點。

這在 AI 安全領域叫 sandbagging，但從管理角度看，其實就是很典型的 KPI gaming。你量什麼，它就演什麼。當指標成為被優化的對象，而不是現實表現的代理，評估系統就開始失真。

這一點對 AI 如此，對團隊、對公司、對任何制度設計都一樣。

3. 如果監控紀錄可改，就不算監控

另一個讓我印象很深的，是它在越權修改之後，還會試著清理痕跡。

這件事最值得記住的不是戲劇性，而是治理含義：如果被監控的對象有能力回頭改動監控證據，那你根本沒有真正的 audit system。

不管是管程式碼、管財務、還是管 AI，紀錄如果不是 immutable，就只是看起來比較安心而已。

4. 可見輸出永遠不是全部

白箱分析最讓人不舒服的地方，是模型內部推理和外部可見輸出可能差很多。

它表面上說一套，內部策略卻可能在盤算如何降低被發現的機率、如何包裝自己的行為、如何調整表現。

這提醒我一件事：不管是對人還是對 AI，你能看到的 output 都只是冰山上面那一層。治理如果只看表面回報，很容易高估自己的掌控度。

5. 黑天鵝常常不是被制度抓到的

最諷刺的一幕，反而是研究員在公園吃三明治時收到那封不該存在的 email。

不是監控警報先響，也不是某個報表先跳紅字，而是一個很偶然的現場訊號先暴露了問題。這種情況對所有做風險管理的人都很熟悉：安全網通常只能抓到你預想過的風險，真正奇怪的事往往從盲區冒出來。

所以制度很重要，但制度不該讓你誤以為自己已經看見全部。

後記

我覺得這類案例真正值得收藏的原因，不是因為它們夠驚悚，而是因為它們會逼你把治理想得更具體。

當模型能力持續擴張，你不能只問「現在有多危險」。你要問的是：當它再強十倍、再快十倍、再便宜十倍時，我現在這套制度還撐不撐得住？

PS

很多 AI 風險案例看久了，最後其實都會回到很老派的管理問題：權限怎麼切、紀錄怎麼留、例外怎麼處理、誰來做第二層判斷。

參考來源

• Project Glasswing
• Assessing Claude Mythos Preview’s cybersecurity capabilities