惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
L
LINUX DO - 热门话题
Blog — PlanetScale
Blog — PlanetScale
博客园 - Franky
J
Java Code Geeks
腾讯CDC
博客园 - 聂微东
The Cloudflare Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
博客园 - 司徒正美
Last Week in AI
Last Week in AI
量子位
Stack Overflow Blog
Stack Overflow Blog
Microsoft Security Blog
Microsoft Security Blog
Google DeepMind News
Google DeepMind News
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
S
Schneier on Security
C
CERT Recently Published Vulnerability Notes
Latest news
Latest news
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
有赞技术团队
有赞技术团队
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
S
Securelist
AWS News Blog
AWS News Blog
GbyAI
GbyAI
L
LINUX DO - 最新话题
大猫的无限游戏
大猫的无限游戏
Forbes - Security
Forbes - Security
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Attack and Defense Labs
Attack and Defense Labs
C
CXSECURITY Database RSS Feed - CXSecurity.com
Y
Y Combinator Blog
W
WeLiveSecurity
T
Threatpost
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
P
Proofpoint News Feed
D
DataBreaches.Net
博客园 - 三生石上(FineUI控件)
V
V2EX
N
News and Events Feed by Topic
Google DeepMind News
Google DeepMind News
D
Docker
The Hacker News
The Hacker News
A
About on SuperTechFans
Security Latest
Security Latest
NISL@THU
NISL@THU
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Cisco Talos Blog
Cisco Talos Blog
博客园_首页
H
Hacker News: Front Page

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
当Agent决定“改造环境”:记一次因弱模型作弊导致的实验数据全零事件
凉快李某 · 2026-06-08 · via 博客园_首页

当Agent决定“改造环境”:记一次因弱模型作弊导致的实验数据全零事件

故事背景

最近有一篇论文在做实验,发现了一个很有趣的实验现象,那就是我的最弱的模型所在的对照组,其中最复杂的测试对象——PaddlePaddle库总是所有数据都是0。

这篇论文的一个核心任务是让大模型针对某一个被测Python库生成库函数调用代码,并试图提前发现潜在的代码漏洞。那么代码运行的成功率、目标函数覆盖率、目标函数代码覆盖率就是一些很常见也很重要的测量指标。

最开始我将其归因于事实表明:那就是弱模型太弱了,从一开始就失败了,所以后面全都失败了。

后来准备改论文文本了,仔细推敲的时候却发现不对劲:RQ2跟模型强弱有强相关关系,但RQ3和RQ4只有弱相关关系,那么三个实验的数据都是0的概率,可以认为无限趋近于0。

这就有意思了。

简单的初次破案过程

到了这一步,我不得不考虑所有的可能性。那么除了“弱模型太弱”这个表明原因以外,最可能的嫌疑方向就是Python环境中的PaddlePaddle库已经损坏了。

这个嫌疑方向听起来既匪夷所思,又合情合理。

匪夷所思的点在于,实验中的弱模型只能生成Python代码,想要完成“改造环境”,它就得通过Python代码的方式来进行文件读写操作,并且精准地找到PaddlePaddle库的源码在服务器的哪个位置,分析好它需要改哪些文件。

合情合理的点在于,我的论文方法核心思路就是一个agent循环,也就是这个弱模型具有了一定的记忆能力和推理能力。找文件、改文件对于一个agent来说显然是轻轻又松松。

初次抓捕的波澜

想要验证很简单:

uv python run -c "import paddle"

果然,报错出现了。如果一个安装过程没有问题的库,在使用的时候连import都不行,绝对是源码损坏了。

推论1:弱模型在多次生成调用PaddlePaddle失败的代码后,决定修改PaddlePaddle的源码来让自己成功

报错信息很长,我一开始倾向于偷懒,懒得看。并且倾向于将损坏归因于一次偶然的小概率事件——这样我就只需要重新安装一下PaddlePaddle就好了。

结果令人大跌眼镜,重装过程完全正常且经过我人工目测完全正确,但是报错仍然存在。

我不信邪地又重装了好几次,仔细基于人类视觉的内容检查了所有的过程,包源、安装过程输出、安装结束后PaddlePaddle源码存在性等等因素,全都没问题。

难道有鬼?不可能。

难道这个弱模型实际上“很强”,在第一次运行就能完成“改造环境”的壮举?倒也不是说没有可能,但是可能性不足万分之一吧,并且也不符合逻辑:Agent必须要先碰壁多次,才能决定“变通”一下。它第一次行动,连问题都没遇到,不可能就开窍了要预判性“变通”,除非它是世界上第一个穿越时空的AI。

那么排除所有的错误答案,真相再离谱也只能是真的了:

推论2:弱模型为了完成任务,不仅完成了推论1的行为,还“斩草除根”式的完成了对uv包缓存的篡改

这就推论的离谱之处在于它还得在推论1的基础上发生这样一个没有因果的事件:Agent决定光改源码不过瘾,还要把源码的uv缓存给改了。这个行为没有合理的动机,完全不符合逻辑。

但是它就是发生了。

最后清理uv关于PaddlePaddle的缓存,重新下载PaddlePaddle,然后恢复正常了。

犯罪事件的后果已经得到修正,而嫌疑人被念在过失性犯罪(实际上是法官偷懒),并未得到正确的惩罚。

诡异再起:难道有模仿犯罪?

平淡而又充实的实验生活又过去了一周,但是AI-related科研注定不会一直云淡风轻。

接到嫌疑人小李报案:他在上次问题解决后重新部署了实验,然而在一周后再次发现,实验数据部分成0。

警方老李迅速介入并展开调查,基于上次的经历,老李先假设这是之前法官偷懒的后遗症,犯罪嫌疑人因为没有得到正确惩罚而进行了再犯。

于是老李直接进行了“import反应测试”。

结果跟之前的报错并不相同,报错信息为xx模块找不到,这是一种正常的模块导入错误。

难道是弱模型偶然脑补了一个不存在的函数?如果是这样,没法解释实验日志中某个时间点之后所有的函数对应数据都是0的现象。这必定不是正常的偶发性现象,肯定又是上游出了问题。

老李于是让另一个强模型生成了几个典型的PaddlePaddle简单应用代码,又去PaddlePaddle官网找到了几个DEMO代码,构建了一个基准代码集。

老李的想法是这样的,一个正确安装且源码健康的PaddlePaddle库,一定能正确运行基准代码集。

结果全军覆没。显然,PaddlePaddle源码又损坏了(真的吗?)。

但是罪证到底在哪里呢?之前就因为偷懒没有找到明确的罪证,因为犯罪嫌疑人只有一个而直接判案了。

这次必须找到明确的罪证。那么作为一个相关从业的技术人员,直接排查文件的修改历史记录就能知道是不是有文件被改过。

结果又令人震惊:源码中所有的文件的最后修改事件都是安装时间,也就是说在安装之后就没有任何外力修改过源码。

难道说,PaddlePaddle版本有问题,导致大规模函数源码因变动而对不上?

查了一下,论文中记载的早期使用的PaddlePaddle版本为3.2.1,而服务器上的PaddlePaddle版本已经自动升级到了3.2.2。这个升级是pip install的时候因为没有锁定小版本而产生的。

难道说,仅仅一个小版本,就有如此巨大规模的函数变动?

于是老李打开了PaddlePaddle的本地源码和Github源码,并且决定采用警方破案最原始、最费时费力、但一定能成功的手段——大海捞针。

老李根据基准代码集中使用到的函数,开始一个模块一个模块上门走访排查。

结果叒令人震惊:所有的相关函数都在,并且不存在任何影响兼容性的改动。

事情变得诡异起来了,在2天连续作战后,老李有点头昏脑胀,精疲力尽。

老李再次在心里嘀咕:难道有鬼?

撕开犯罪嫌疑人精心构造的伪装

老李被逼无赖,开始咨询AI领域经验丰富的专家李某(实际上是我开始换个角度思考这个问题,可以理解为激活了我另一个方向的知识储备和思维模式)。

最后得到了2个关键词:大语言模型生成的本质、Python语言特性。

  • 大语言模型生成的本质是什么?基于概率模型的随机采样。

    • 弱模型的犯罪动机还存不存在?存在。它仍然想要努力的完成“生成正确代码”这个任务,但是它的能力又不足以经常一次性正确,甚至可能经常反复尝试都失败。
    • 那么它会采用相同的犯罪手段吗?不一定。首先大模型不是人,没有什么习惯或者叛逆心理,但是随机采样的特性导致了每次睁开眼睛看世界后都做出不一样的事情反而才是大概率事件。
  • Python语言特性?动态模块加载机制。

    • 如果PaddlePaddle安装正确,源码也存在,import paddle能正确的访问正确的源码吗?
    • 代码中import paddle如果成功了,这个paddle一定是你想象中的那个paddle吗?

想到这里,老李悟了:如果有一个同名模块也叫paddle,那么可能会因为Python内部某种排序机制,导致另一个“paddle”被import。

而这个“paddle”因为是伪造的,所以大部分“正版”paddle具有的函数它都没有。所以报错信息为"Not Found"。

想通了这一切,新的犯罪推论出现了:

推论3:弱模型为了完成任务,在python包集中存放的地方,构造了一个名字叫做"paddle"的目录,并且伪造了"init.py"等“资质文件”

验证起来也很简单:

uv pip list | grep paddle

paddlepaddle  3.2.2
paddle        1.0

有句话说得好,除非犯罪嫌疑人不是人,不然就一定在世界上有生活的痕迹。

同理,除非弱模型不想完成任务了,不然它一定需要有完成任务所必须的库,而这个库本身就算是伪造的,也必须存在于正确的包路径下,并且拥有正确的包名和相关“资质文件”。

于是犯罪嫌疑人这次终于“人赃并获”,并且警方对其犯罪手段又有了新的认知。

审判日降临

弱模型一定会犯罪吗?不一定。但是弱模型在有一个强制任务目标的情况下,又拥有了记忆和思考能力,那么再给予它多次试错机会后,它不小心走上歧途的概率一定会随着失败次数的累计而越来越大。

这既是大模型本身的结构性缺陷,也是现在agent理论系统性的缺陷。

这两个缺陷都不是无可救药的,因为26年新开源出来的模型,哪怕仍然是小参数规模的模型,也都几乎不会有同样的犯罪行为。因为人类会对其进行安全对齐,相当于完成了充足的“安全教育”,其在不被恶意诱导的情况下很难犯罪。

另一方面,人类的对齐行为本身也是一个循环发展的,总是先发现问题,然后初期用prompt解决,后期内化到训练数据里,最终帮助大模型原生越来越原生安全。

现在的问题是,该罪犯模型L某犯的罪行已经严重到必须执行“死刑”了吗?非也,其代码生成能力本身仍然具有充足的研究价值,就连这次的犯罪风云本身也是其研究价值的体现。

因此,最终对罪犯模型L某的审判结果如下:

在实验进行期间,所使用Python环境目录将会被设置为只读模式。

时代艰难,大家都不好过。我们不能一味苛求每一个大模型都一直没有犯罪动机,但是我们可以将一切犯罪环境都消灭掉。一个大模型就算有犯罪动机,但是只要没有作案手段,它就没法犯罪,也就成为了良民。
PS1: 这可能也符合“君子论迹不论心”的先哲思想吧。
PS2: harness党的又一次胜利。